Volksbank stop met hardtoken, waar nu heen?

@United
Welke vorm van een hardtoken gebruiken ze dan nu?

Ga er maar vanuit dat alle banken op termijn naar een vorm van 2-FA zullen overstappen wat voor hen gemakkelijk te beheren is maar wel veilig.
Genoeg manier om te zorgen dat je rekening veilig blijft.

Veel geluk met het zoeken van een bank dat niet met een app of een of andere vorm van digitale scanner werkt. En zo'n scanner is niks veiliger dan een app, want in beide gevallen gaat het puur en alleen om je pasnummer + pincode. Kan me geen bank herinneren die meer heeft dan dat? Ook bijv. de ouderwetse random reader van Rabobank en de nieuwe Rabo Scanner gebruikt een algoritme om op basis van je pasnummer en pincode een soort van TOTP-code te genereren, dus iemand die hetzelfde pasnummer op een ander pasje zet en je pincode weet kan daar mee net zo goed inloggen als iemand die je telefoon jat en je pincode weet.

Oon schreef op dinsdag 23 augustus 2022 @ 17:57:
Veel geluk met het zoeken van een bank dat niet met een app of een of andere vorm van digitale scanner werkt. En zo'n scanner is niks veiliger dan een app, want in beide gevallen gaat het puur en alleen om je pasnummer + pincode. Kan me geen bank herinneren die meer heeft dan dat? Ook bijv. de ouderwetse random reader van Rabobank en de nieuwe Rabo Scanner gebruikt een algoritme om op basis van je pasnummer en pincode een soort van TOTP-code te genereren, dus iemand die hetzelfde pasnummer op een ander pasje zet en je pincode weet kan daar mee net zo goed inloggen als iemand die je telefoon jat en je pincode weet.

En hoe zou je het pasnummer op een andere zetten? Even los ervan dat ik hier heel erg aan twijfel. Zeker geloof ik er weinig van dat het pasnummer is, dan zou het eerder bankrekeningnummer zijn. Maar ook dan nog, lijkt mij dat er ergens een private key op die pas zit, die ondertekend het, en de rabo controleert dat.

Ik vraag me alleen af waarom jij denkt dat een hard token veiliger is dan b.v. een app?

Vrijwel alle banken doen het met een app en ik heb nog niet eerder gehoord dat er iets mis mee is gegaan m.u.v. fishing en nep-banking sites. Maar daar ga je met een hard token net zo hard nat op.

Oftewel waarom denk jij het beter te weten dan de NL'se banken die er hun voortbestaan mee op het spel zetten?

ABN werkt nog met die wanstaltige e-dentifier

Sethro schreef op dinsdag 23 augustus 2022 @ 18:44:
ABN werkt nog met die wanstaltige e-dentifier

Bij sns kan dat ook nog steeds. Je kiest zelf om enkel de pincode te gebruiker of overal die e-dentifier te gebruiken.

Werkt ook via een app. Maar begrijp het wantrouwen ook niet zozeer.

Niet iedereen heeft of wil een smartphone...

Snap TS dus heel goed.

Rabo werkt ook nog gewoon met alleen een reader,
al moet ik zeggen dat de website wel steeds hard achteruit gaat.
Lijkt helaas ook steeds meer op een mobiele site

United schreef op dinsdag 23 augustus 2022 @ 17:36:
In mijn optiek is dit minder veilig want mijn hardtoken kan ik in een kluis leggen waar ik dat met mijn telefoon niet zo snel doe.

En leg je dat ding dan ook in een kluis, of voelt het veiliger omdat je hem in een kluis zou kunnen leggen?
(Ik met eerlijk zeggen dat een hard-token in een kluis leggen voor mij even onwerkbaar zou zijn als een telefoon in een kluis leggen, maar het kan allebei, dus op dat vlak is het even veilig)

Oon schreef op dinsdag 23 augustus 2022 @ 17:57:
een algoritme om op basis van je pasnummer en pincode een soort van TOTP-code te genereren

Ik neem aan dat je een One Time Password (OTP) bedoelt, en niet Top of the Pops?
Aanname corrected :

Herko_ter_Horst schreef op dinsdag 23 augustus 2022 @ 19:05:
Ik neem aan dat ie gewoon Time-based One-Time Password bedoelt.

Oon schreef op dinsdag 23 augustus 2022 @ 17:57:
dus iemand die hetzelfde pasnummer op een ander pasje zet

Dat is dus informatie die je op de chip van een blanco pas moet zetten. Als ik de apparatuur heb om dat te doen (effectief dus het clonen van iemands bankpas), en ik heb de beschikking over de bijbehorende PIN, dan denk ik dat simpelweg leegtrekken van de rekening bij de ATM meer voor de hand ligt dan moeilijk te gaan doen via een website...

Maar kennelijk is dergelijke apparatuur niet eenvoudig voorhanden, en is het clonen van bankpassen niet heel erg eenvoudig. Of het feit dat we er niets van horen komt omdat het allemaal verzwegen wordt

iemand die je telefoon jat en je pincode weet.

Iemand moet een pincode kennen om mijn telefoon te ontgrendelen, een pincode kennen om mijn bank-app te ontgrendelen en een pincode kennen om een transactie goed te keuren. Of mijn duim jatten

En dan moet iemand fysieke toegang tot mijn telefoon hebben, net als met dat hard-token. Maar, dat hard-token is bij de meeste banken uitwisselbaar (vaak genoeg collega's gezien die elkaars Rabo-reader gebruikten, terwijl de bank-app specifiek op1 telefoon gelinked moet zijn, dus zelfs als je mijn rekeningnummer en al mijn pincodes weet kun je nog steeds niets met mijn rekening vanaf jouw eigen telefoon. En als ik mijn telefoon kwijtraak zijn al mijn rekeningen in no time geblokkeerd (want dat merk ik) terwijl een afgekeken pincode en geclonede bankpas (hard-token jatten is niet nodig!) heel lang onopgemerkt kunnen blijven.

Beveiliging en intuitie, een slechte combinatie. Dan krijg je onzin als "je moet je password minimaal elke maand veranderen, want dat is veiliger".

JBplap schreef op dinsdag 23 augustus 2022 @ 18:50:
Niet iedereen heeft of wil een smartphone...

Snap TS dus heel goed.

Ik niet. Zeker op het gebied van mobiele telefoons was en ben ik geen early adopter, maar meer dan 15 jaar na de introductie van de iPhone nog steeds bang zijn voor die enge nieuwe technologie doet me steeds meer denken aan bepaalde religieuze groeperingen die alle technologie na een arbitraire datum als duivelswerk zien. (En ik vaar ook niet blind op de aanbevelingen van een Amish over de inbraakbeveiliging van een nieuwe Ferrari).

Ja, ik begrijp dat mensen huiverig zijn om te kwistig te zijn met het delen van privacygevoelige informatie. En enige terughoudendheid op dat vlak lijkt me ook een gezonde instelling. Maar blijven bellen zoals in de jaren 50, bankieren zoals in de jaren 60, fotograferen zoals in de jaren 70 en muziek luisteren zoals in de jaren 80 gaat toch wel heel erg ver.

[Voor 20% gewijzigd door Dido op 23-08-2022 19:08]

Dido schreef op dinsdag 23 augustus 2022 @ 19:00:
Ik neem aan dat je een One Time Password (OTP) bedoelt, en niet Top of the Pops?

Ik neem aan dat ie gewoon Time-based One-Time Password bedoelt.

Sethro schreef op dinsdag 23 augustus 2022 @ 18:44:
ABN werkt soms alleen nog met die wanstaltige e-dentifier

FTFY.

Er zijn bij de ABN nog steeds handelingen waar ik dat ding voor moet gebruiken zoals willekeurig een betaling goedkeuren. Of zoals een extra bankprodukt aanvragen.

Dus 100% vertrouwen op een smartphone en/of MFA, dat kan blijkbaar nog niet bij die bank.

JBplap schreef op dinsdag 23 augustus 2022 @ 18:50:
Niet iedereen heeft of wil een smartphone...

Snap TS dus heel goed.

Rabo werkt ook nog gewoon met alleen een reader,
al moet ik zeggen dat de website wel steeds hard achteruit gaat.
Lijkt helaas ook steeds meer op een mobiele site

Goed nieuws, de app wordt er ook niet beter op

Oon schreef op dinsdag 23 augustus 2022 @ 17:57:
En zo'n scanner is niks veiliger dan een app, want in beide gevallen gaat het puur en alleen om je pasnummer + pincode.

Toch echt wel. In theorie kun je prima wat malware op je telefoon krijgen waardoor je app niet meer veilig is. Door security bugs in het OS, in de package manager, of in de app zelf zou je authenticatie misbruikt kunnen worden voor een MITM-aanval. Niet heel waarschijnlijk, en omdat je twee factoren hebt is de kans dat het misgaat nog kwadratisch kleiner, maar theoretisch prima mogelijk.

Nu naar die reader: dat ding is compleet air-gapped, de interface tussen dat ding en "het internet" is niets meer dan het scannen van een kleurcode. Kans op malware of hacks van dat ding is niet-bestaand, je moet het fysieke apparaatje in bezit krijgen. Als mijn scannertje zegt "je gaat 10 euro overmaken naar Bertje, akkoord?" dan ga ik 10 euro overmaken naar Bertje, daar komt geen hacker ooit tussen.

Daarom heb ik dus ook liever geen bank-app op een general-purpose OS waar elke dag updates op draaien, en waar gigantische hoeveelheden software op draait, waarvan een deel met root-rechten. Als bij wijze van spreken iemand bij de driver-afdeling van Nvidia een fuck-up maakt kan ik een MITM in mijn bankomgeving hebben. Dus gewoon twee losse apparaten, klaar.

Fun fact: een eerdere versie van de e.dentifier had dus wel een koppeling met de boze buitenwereld via een USB-aansluiting - en die was dan ook meteen lek. Al had die prima veilig kunnen zijn, die security-bug was echt een domme ontwerpfout.

vassago schreef op dinsdag 23 augustus 2022 @ 18:28:
Oftewel waarom denk jij het beter te weten dan de NL'se banken die er hun voortbestaan mee op het spel zetten?

Voor die banken is het goed genoeg, de 0.01% die misgaat weegt niet op tegen het gemak van een app. Voor de gebruiker, maar ook voor de bank zelf: een app is makkelijker te beheren dan 100.000 readers die je fysiek moet distribueren en soms vervangen. Gebruik maar lekker de hardware die de klant toch al zelf heeft.

Zeker aangezien PEBKAC toch het grootste probleem is en niet de techniek. Met die random-reader klikken mensen ook gewoon door zonder te lezen, zich niet beseffend dat het bevestigingstekstje het veiligheidsmechanisme is waar alles op hangt. Enige ontwerpfout vind ik zelf dat dat ding niet binnen twee seconde door te klikken moet zijn.

---

Voor de TS: ik zit zelf bij de ING, de scanner werkt prima (kleurcode op het scherm scannen en een bevestigingscode terug overtypen). Gebruikersgemak is vast slechter dan met een app, maar he, dat was nou net de afweging. Ik weet alleen niet of ze die dingen ook aan nieuwe klanten geven, ze wilden me heel graag naar de app duwen vanaf mijn papieren tan-codes.

[Voor 46% gewijzigd door bwerg op 23-08-2022 20:39]

Sissors schreef op dinsdag 23 augustus 2022 @ 19:28:
[...]

Goed nieuws, de app wordt er ook niet beter op

mijn geld op de bankrekening ook niet

ING heeft ook zoiets als je dit bedoeld:
https://www.ing.nl/partic...ginnen/scanner/index.html

Van wat ik begrepen heb werkt die best prima.

MAX3400 schreef op dinsdag 23 augustus 2022 @ 19:15:
[...]

FTFY.

Er zijn bij de ABN nog steeds handelingen waar ik dat ding voor moet gebruiken zoals willekeurig een betaling goedkeuren. Of zoals een extra bankprodukt aanvragen.

Dus 100% vertrouwen op een smartphone en/of MFA, dat kan blijkbaar nog niet bij die bank.

Willekeurig een betaling goedkeuren? Nee, dat gaat via de app. Alleen betalingen boven je limiet moet je met de edentifier doen. Bij mij is dat boven de 500 euro. Behalve als ik doorsluis van en naar spaarrekeningen uiteraard.

United schreef op dinsdag 23 augustus 2022 @ 22:06:
[...]


2FA zou ik het mee eens zijn, want inderdaad daar geloof ik wel in. Zelfs als de 2FA op mijn telefoon staat. Maar het feit is dat ik een app heb die eventueel 2FA voor de browser is maar niet voor geld overmaken in de app zelf daar komt er geen extra stap tussen.

Overigens als je vingeracanner gebruikt heb je enkel de pin van je telefoon nodig om een extra vinger toe te voegen en voila je zit in de bank app en kan geld overmaken.

Bij de Rabobank app is dit ook het geval, je hebt een 5-cijferige pincode om de app te openen of via je vingerafdruk. Naar bekende rekeningnummers of bij kleine bedragen is het enkel nodig om je vingerafdruk te gebruiken. Bij een nieuw nummer of grote bedragen heb je je randomreader nodig + pinpas + pincode.
Veilig genoeg wat mij betreft.

Maar ze hebben ook je telefoon nodig, wat ook weer een extra stap is. Daarnaast kan je die ook goed beveiligen en ben je zelf erbij hoe voorzichtig je met je telefoon omgaat. Je zou zelfs een losse telefoon met apart nummer kunnen nemen enkel voor bankzaken.
Maar het risico blijft heel erg klein.

Sethro schreef op dinsdag 23 augustus 2022 @ 18:44:
ABN werkt nog met die wanstaltige e-dentifier

ING heeft ook opties voor als je geen smartphone wil of kan gebruiken. Een vermoedelijk op Android gebaseerde handheld die QR codes kan scannen. Deze koppel je eenmalig met internetbankieren en kan je daarna in de kluis leggen.

United schreef op dinsdag 23 augustus 2022 @ 22:06:
[...]

Overigens als je vingeracanner gebruikt heb je enkel de pin van je telefoon nodig om een extra vinger toe te voegen en voila je zit in de bank app en kan geld overmaken.

Zover ik weet wordt de vingerafdrukscanner uitgeschakeld bij de bank app als er een nieuwe vinger is toegevoegd. Dan heb je de pincode nodig van de bank app om weer toegang te krijgen en de vingerafdruk opnieuw te activeren, die moet dan natuurlijk niet hetzelfde zijn als de toegangscode van je telefoon :-)

Sebazzz schreef op woensdag 24 augustus 2022 @ 07:47:
[...]

ING heeft ook opties voor als je geen smartphone wil of kan gebruiken. Een vermoedelijk op Android gebaseerde handheld die QR codes kan scannen. Deze koppel je eenmalig met internetbankieren en kan je daarna in de kluis leggen.

Android gebaseerd? Hoe kom je daar bij? Het is gewoon zo’n zelfde soort scanner als de andere banken ook gebruiken/gebruikten. Daar draait echt geen Android(-afgeleide) op.

Sebazzz schreef op woensdag 24 augustus 2022 @ 07:47:
[...]

ING heeft ook opties voor als je geen smartphone wil of kan gebruiken. Een vermoedelijk op Android gebaseerde handheld die QR codes kan scannen. Deze koppel je eenmalig met internetbankieren en kan je daarna in de kluis leggen.

Op android? Die drie pixels die je te zien krijgt, op twee batterijtjes met een accuduur van X jaar?

Zoals ik eerder al zei heeft het ding geen enkele vorm van verbinding met andere apparaten of met netwerken. Gewoon een stukje maatwerk dus om die kleurencode van een scherm te lezen, de actie te tonen die de gebruiker gaat doen en daarna de code die de gebruiker moet overtypen. Meer zit er letterlijk niet in. Daar heel android voor bootten zou een beetje overkill zijn.

[Voor 3% gewijzigd door bwerg op 24-08-2022 08:57]

Dus: ING, Rabobank, ABN-AMRO hebben in ek geval allemaal nog de mogelijkheid om een "hardtoken" te gebruiken.

Bij Rabo en ABN heeft in de kluis leggen overigens geen zin, want het apparaatje is universeel, dus je kunt elke willekeurige Rabo Scanner c.q. e.dentifier gebruiken. De beveiliging bestaat daar dus uit je pas+pincode.

[Voor 5% gewijzigd door Herko_ter_Horst op 24-08-2022 09:57]

@United Bij de ABN heb je de edentifier nodig om in te loggen; dit is een redelijk universeel apparaatje van de ABN waar je je pinpas insteekt, en welke nadat je je pincode in hebt gevoerd codes genereert. Maar wanneer je buurman/collega ook ABN heeft dan kun je ook zijn edentifier lenen en er jouw pas insteken. Het kastje is dus universeel, echter kun jij enkel bij de ABN inloggen wanneer jij jouw pas in een edentifier steekt, jouw pincode in hebt getikt en daarna de 8 cijferige gegenereerde code in de webbrowser overtikt.

Om in te loggen heb je dus fysiek je pinpas nodig (iets dat je hebt) en je pincode (iets dat je weet). Stel ik heb jouw pinpas en ik weet jouw pincode dan kan ik ook bij jouw bankomgeving inloggen.

Ook voor het toevoegen van een telefoon(app) aan je bank heb je de edentifier nodig.

Maar het is dus niet een unieke hardtoken zoals een speciale Yubikey of andere unieke sleutel die je enkel gebruikt om in te loggen, en waar je verder niks mee kan. Je pinpas en pincode vormen de sleutel, en dat is gebaseerd op het beveiligingsprincipe dat je om in te loggen iets unieks moet hebben (je pas), en iets unieks moet weten (je pincode).
Bij de ABN is het niet mogelijk om twee pinpassen te hebben en er één enkel voor betalen te autoriseren, en één enkel te autoriseren om in te loggen. (twee pinpassen is wel gewoon mogelijk, maar dan kun je met beide inloggen). Dus een speciale 'inlogpas' in een kluis bewaren heeft dan geen zin.

In een grijs verleden had de ABN wel edentifiers die echt aan een persoon/rekening gekoppeld waren en waar ook geen pinpas in geplaatst hoefde te worden, maar daar zijn ze 10+ jaar geleden van afgestapt.

United schreef op dinsdag 23 augustus 2022 @ 22:06:
[...]


2FA zou ik het mee eens zijn, want inderdaad daar geloof ik wel in. Zelfs als de 2FA op mijn telefoon staat. Maar het feit is dat ik een app heb die eventueel 2FA voor de browser is maar niet voor geld overmaken in de app zelf daar komt er geen extra stap tussen.

Overigens als je vingeracanner gebruikt heb je enkel de pin van je telefoon nodig om een extra vinger toe te voegen en voila je zit in de bank app en kan geld overmaken.

Precies wat @MysticX zegt, of in ieder geval bij Android. Op het moment dat er een vingerafdruk wordt toegevoegd wordt op (de meeste, zo niet alle) apps die vingerafdruk vergrendeling/verificatie gebruiken de token gereset en moet je vingerafdruk expliciet weer opnieuw inschakelen. Vaak zat meegemaakt.

Of dit ook zo werkt voor iOS devices (mocht je die gebruiken ipv Android) durf ik niet te zeggen.

Maar ik ben het wel met je eens aangaande hoe eenvoudig het is om geld over te maken via de app. Zelf gebruik ik Knab en daar heb ik een limiet ingesteld (bijvoorbeeld 1000 euro). Zodra ik meer geld dan de ingestelde limiet wil overmaken via de app, dan moet ik ook nog de randomreader erbij gebruiken.

Je kunt toch een ouwe brakke 2e hands smartphone kopen die je alleen voor f2a gebruikt en verder niks. Kan in je kluis. Enig nadeel is dat je een speciaal abonnement / prepaid sim moet hebben en dat kost altijd geld maar soit... Voor die paar knaken per maand heb je wel de security die je wil.

Ik gebruik hier specifiek ING voor met aan de persoon gekoppeld hardware token en aparte PIN voor gebruik met dat token.

Heb ook Rabobank met apparaatje maar dat is uitdrukkelijk geen token want niet uniek. Gebruik dat niet voor hele hoge bedragen bij voorkeur omdat online en fysieke transacties van exact dezelfde gegevens gebruik maken.

Lordy79 schreef op donderdag 25 augustus 2022 @ 08:06:
Je kunt toch een ouwe brakke 2e hands smartphone kopen die je alleen voor f2a gebruikt en verder niks. Kan in je kluis. Enig nadeel is dat je een speciaal abonnement / prepaid sim moet hebben en dat kost altijd geld maar soit... Voor die paar knaken per maand heb je wel de security die je wil.

Je kan natuurlijk gewoon WiFi gebruiken (na eenmalig activeren met SIM). Dus dan kost het je verder niets

[Voor 3% gewijzigd door Tys op 25-08-2022 08:42]

Tys schreef op donderdag 25 augustus 2022 @ 08:42:
[...]


Je kan natuurlijk gewoon WiFi gebruiken (na eenmalig activeren met SIM). Dus dan kost het je verder niets

Ah ik dacht dat het met SMS werkte. maar bijv. de ING werkt inderdaad met een app waarbij wifi volstaat.

PeacekeeperNL schreef op woensdag 24 augustus 2022 @ 10:26:
Of dit ook zo werkt voor iOS devices (mocht je die gebruiken ipv Android) durf ik niet te zeggen.

Net even getest op iOS: in elk geval de Rabo-app en de ING-app melden direct dat Touch-ID is uitgeschakeld in de app. Je kunt dan alleen nog met de pincode van de app inloggen.

Herko_ter_Horst schreef op donderdag 25 augustus 2022 @ 09:26:
[...]

Net even getest op iOS: in elk geval de Rabo-app en de ING-app melden direct dat Touch-ID is uitgeschakeld. Je kunt dan alleen nog met de pincode van de app inloggen.

Thanks voor het testen. Had niet anders verwacht eigenlijk maar gaat dus inderdaad zoals verwacht. Fijn iig

vassago schreef op dinsdag 23 augustus 2022 @ 18:28:
Ik vraag me alleen af waarom jij denkt dat een hard token veiliger is dan b.v. een app?

Vrijwel alle banken doen het met een app en ik heb nog niet eerder gehoord dat er iets mis mee is gegaan m.u.v. fishing en nep-banking sites. Maar daar ga je met een hard token net zo hard nat op.

Oftewel waarom denk jij het beter te weten dan de NL'se banken die er hun voortbestaan mee op het spel zetten?

Omdat TS zijn 'something you have' deel van de securitymaatregelen verder beveiligd door dit in een kluis op te bergen en zijn telefoon gemakkelijker afhandig gemaakt kan worden.

True schreef op donderdag 25 augustus 2022 @ 09:29:
[...]


Omdat TS zijn 'something you have' deel van de securitymaatregelen verder beveiligd door dit in een kluis op te bergen en zijn telefoon gemakkelijker afhandig gemaakt kan worden.

Maar is dat in de praktijk een echte toevoeging op de beveiliging op slechts een onnodige complicatie. Over het algemeen zijn we als mens erg slecht in het inschatten van risico's. De banken schatten dat soort dingen niet in, die berekenen het.

Misschien een heeele domme vraag:

Maar wat is hardtoken
(heb echt geen idee??)

JAN-B schreef op donderdag 25 augustus 2022 @ 12:56:
Misschien een heeele domme vraag:

Maar wat is hardtoken
(heb echt geen idee??)

https://telnyx.com/resources/hard-token-vs-soft-token

Dus een fysiek ding (bijv. een USB stick) die je nodig hebt om toegang te krijgen tot iets.

Herko_ter_Horst schreef op woensdag 24 augustus 2022 @ 09:44:
Dus: ING, Rabobank, ABN-AMRO hebben in ek geval allemaal nog de mogelijkheid om een "hardtoken" te gebruiken.

Bij Rabo en ABN heeft in de kluis leggen overigens geen zin, want het apparaatje is universeel, dus je kunt elke willekeurige Rabo Scanner c.q. e.dentifier gebruiken. De beveiliging bestaat daar dus uit je pas+pincode.

Voor mij is die pas mijn beveiliging. Als ik die niet gebruik voor internetbankieren, dan ligt die pas thuis op een plek die iemand alleen vindt door elke vierkante cm van mijn huis ondersteboven (of omgekeerd) te keren. Thuis internetbankieren doe ik met die pas en een cardreader daarvoor. Nu is dat nog de ABNAmro e-dentifier. Die ABNAmro-pas gebruik ik dus niet buitenshuis. Daarvoor gebruik ik de pas van een andere bank met een rekening die ik elke maand aanvul tot meestal maximaal 500 euro. Deze combinatie voelt voor mij veilig.

Internetbankieren met of met behulp van een app op mijn smartphone die wel buiten de deur komt, voelt voor mij niet veilig.

ABNAmro maakt haar klanten inmiddels duidelijk dat ze behoren over te stappen naar de app en dat de card reader/e-dentifier gaat stoppen. Maar als je de helpdesk belt, weet men niet van een harde planning voor het stoppen met de e-dentifier. Als er geen info is over een planning, en ABNAmro nu wel elke keer een stapje verder gaat in het ontmoedigen van het gebruik van de e-dentifier, dan kan ik nu beter gaan uitkijken naar een alternatief, zo lijkt me.

Daarom: weet iemand toevallig een bank waar je nu met een cardreader voor een bankpas kunt internetbankieren en die duidelijk heeft gemaakt dat ze daar voorlopig juist niet mee gaan stoppen?

Adrie

Ik kan me niet voorstellen dat er een bank is die expliciet aangeeft NIET te gaan stoppen (al dan niet op korte termijn). Ik denk dat het beste dat je kunt verwachten, is dat men (nog) niet expliciet heeft aangegeven te gaan stoppen.

Maar ik zou nog eens goed nadenken over het daadwerkelijke risico, mede gegeven het feit dat als jij niet nalatig bent geweest met je beveiligingsmiddelen, de bank je eventuele verliezen gewoon vergoed, als het al misgaat. Ik zou andere eigenschappen van een bank een veel hogere prioriteit geven dan het al dan niet beschikbaar hebben van een hardtoken/scanner/cardreader.

nvm

[Voor 110% gewijzigd door Kalentum op 29-08-2022 13:37. Reden: overbodige info weg]

A3Spruit schreef op maandag 29 augustus 2022 @ 10:35:
[...]


Voor mij is die pas mijn beveiliging. Als ik die niet gebruik voor internetbankieren, dan ligt die pas thuis op een plek die iemand alleen vindt door elke vierkante cm van mijn huis ondersteboven (of omgekeerd) te keren. Thuis internetbankieren doe ik met die pas en een cardreader daarvoor. Nu is dat nog de ABNAmro e-dentifier. Die ABNAmro-pas gebruik ik dus niet buitenshuis. Daarvoor gebruik ik de pas van een andere bank met een rekening die ik elke maand aanvul tot meestal maximaal 500 euro. Deze combinatie voelt voor mij veilig.

Internetbankieren met of met behulp van een app op mijn smartphone die wel buiten de deur komt, voelt voor mij niet veilig.

ABNAmro maakt haar klanten inmiddels duidelijk dat ze behoren over te stappen naar de app en dat de card reader/e-dentifier gaat stoppen. Maar als je de helpdesk belt, weet men niet van een harde planning voor het stoppen met de e-dentifier. Als er geen info is over een planning, en ABNAmro nu wel elke keer een stapje verder gaat in het ontmoedigen van het gebruik van de e-dentifier, dan kan ik nu beter gaan uitkijken naar een alternatief, zo lijkt me.

Daarom: weet iemand toevallig een bank waar je nu met een cardreader voor een bankpas kunt internetbankieren en die duidelijk heeft gemaakt dat ze daar voorlopig juist niet mee gaan stoppen?

Adrie

Mijn hemel dat gaat wel heel ver zeg. Ik ben bang dat je dat niet gaat vinden omdat het gewoonweg te duur is voor de bank. En als je die wel gaat vinden zal ook bank op termijn ermee stoppen.

ColeJ schreef op maandag 29 augustus 2022 @ 14:20:
[...]


Mijn hemel dat gaat wel heel ver zeg. Ik ben bang dat je dat niet gaat vinden omdat het gewoonweg te duur is voor de bank. En als je die wel gaat vinden zal ook bank op termijn ermee stoppen.

Voor zover ik weet heeft de ING die plannen helemaal niet? Ze bieden het bijvoorbeeld gewoon nog aan aan nieuwe gebruikers en ik heb als QR-reader-gebruiker al tijden geen reclame voor de app meer ontvangen. Een aantal jaar geleden wel, maar ze lijken toen te hebben geaccepteerd dat als iemand na 20 verzoeken nog steeds geen app had geïnstalleerd, diegene dat ook gewoon niet ging doen.

Oke, het is geen "cardreader" maar conceptueel vergelijkbaar.

Herko_ter_Horst schreef op maandag 29 augustus 2022 @ 13:19:
mede gegeven het feit dat als jij niet nalatig bent geweest met je beveiligingsmiddelen, de bank je eventuele verliezen gewoon vergoed, als het al misgaat.

Wat nou als ik gewoon wil dat het technisch niet misgaat, wat met zo'n reader gewoon gegarandeerd is (zolang de back-end van de bank/betaalverwerker zelf niet gehackt wordt)?

Zelfs als ik de verliezen vergoed krijg heeft iemand wel gewoon in mijn bankomgeving zitten rondneuzen. Los van dat ik dan een discussie met mijn bank kan verwachten om mijn geld terug te krijgen. Niet echt het model waar ik op zit te wachten als een plastic apparaatje van een paar euro dat scenario gewoon uitsluit.

bwerg schreef op maandag 29 augustus 2022 @ 14:34:
Wat nou als ik gewoon wil dat het technisch niet misgaat, wat met zo'n reader gewoon gegarandeerd is (zolang de back-end van de bank/betaalverwerker zelf niet gehackt wordt)?

Garanties heb je natuurlijk sowieso niet. Een systeem dat door legitieme gebruikers gebruikt kan worden, kan ook door niet-legitieme gebruikers gemisbruikt worden. De reader en pas/PIN kunnen gestolen worden, je kunt te maken krijgen met een man-in-the-middel aanval, of phishing.

Natuurlijk is het erg vervelend als er iets gebeurt, maar de kans is ook met een app als 2fa al heel klein. De verhouding extra zekerheid t.o.v. extra omslachtigheid is wel een beetje zoek.

A3Spruit schreef op maandag 29 augustus 2022 @ 10:35:
[...]

Internetbankieren met of met behulp van een app op mijn smartphone die wel buiten de deur komt, voelt voor mij niet veilig.

Bankieren op je smartphone is normaliter veiliger dan bankieren op je computer.

FirePuma142 schreef op maandag 29 augustus 2022 @ 15:40:
[...]


Bankieren op je smartphone is normaliter veiliger dan bankieren op je computer.

Ik zou graag zien dat je deze uitspraak onderbouwd, want ik betwijfel of het zo is

Herko_ter_Horst schreef op maandag 29 augustus 2022 @ 15:30:
De reader en pas/PIN kunnen gestolen worden, je kunt te maken krijgen met een man-in-the-middel aanval

Hoe wil je een reader MITM'en? En als je mijn reader steelt moet je nog steeds mijn pincode voor dat ding weten, anders heb je d'r niks aan.

Dus ja, je hebt toch echt wel vrij sterke garanties bij dat ding, conceptueel veel sterker dan een telefoon die gewoon malware kan oplopen.

Dat een telefoon nog steeds sterk genoeg is, zeker als 'slechts' tweede factor, doet daar weinig aan af.

bwerg schreef op maandag 29 augustus 2022 @ 16:19:
Hoe wil je een reader MITM'en? En als je mijn reader steelt moet je nog steeds mijn pincode voor dat ding weten, anders heb je d'r niks aan.

Voor een MitM-attack hoef je die reader helemaal niet te stelen, dat is nou juist het hele idee van MitM.

Het "enige" dat nodig is, is dat jij denkt dat je op de site van je bank zit, terwijl je in werkelijkheid op mijn servertje zit te spelen op een kopie van die banksite. Ik serveer jou de verwachte pagina's van je bank en voer zelf op de bank-site exact in wat de bank van mij vraagt (want dat lever jij aan) inclusief de door jouw "veilige reader" gegenereerde code.

Ja, maar encryptie, SSL, enzovoort. Die werkt gewoon, alleen zit jouw browser mijn certificaate te checken en niet dat van de bank. En aangezien ik aan de achterkant van mijn site zit krijg ik alles netjes decrypted van jou aangeleverd.

Als je als gebruiker goed oplet is dat niet zo heel simpel te doen, maar zo goed letten veel gebruikers vaak helemaal niet op als ze op het web bezig zijn (security-ware tweakers met een flinke dosis achterdocht / paranoia trappen er natuurlijk nooit in, maar hun ouders zijn al een makkelijker prooi...)

Dat is nou net het voordeel van die app op de telefoon. Die communiceert via een ander lijntje met de bank, en een MitM moet zich dan dus al op twee plekken ergens tussen wurmen.

Dus ja, je hebt toch echt wel vrij sterke garanties bij dat ding, conceptueel veel sterker dan een telefoon die gewoon malware kan oplopen.

Met die reader kan een MitM-aanval plaats vinden zonder dat er ergens malware op iemands telefoon of PC staat. Hell, je hoeft iemand niet eens stiekem naar een foute server om te leiden (dat wil nog wel eens waarschuwingen in browsers opleveren die bellen kunnen doen rinkelen), voorlopig klikken nog heel veel mensen blindelings op een link in een email "van de bank".

[Voor 15% gewijzigd door Dido op 29-08-2022 18:41]

United schreef op dinsdag 23 augustus 2022 @ 17:36:
Mijn vraag
...
Zojuist met mijn huidige bank onder de Volksbank (e.g. SNS/ASN) telefonisch opgehangen. Blijkbaar stapt de Volksbank af van hardtokens voor het digitaal beheren van je geld. Alles moet met de app dan wel via een vastgezette browser. In mijn optiek is dit minder veilig want mijn hardtoken kan ik in een kluis leggen waar ik dat met mijn telefoon niet zo snel doe.

Dus mijn vraag is, welke banken gebruiken nog wel hardtokens, want elke bank noemt dit weer anders?


Wat ik al gevonden of geprobeerd heb
...
Link naar SNSbank artikel: https://www.snsbank.nl/pa...s-doet-het-niet-meer.html

Koop een aparte telefoon, zet daar de app op en leg die telefoon in de kluis. Problem solved?

Dido schreef op maandag 29 augustus 2022 @ 18:38:
Ik serveer jou de verwachte pagina's van je bank en voer zelf op de bank-site exact in wat de bank van mij vraagt (want dat lever jij aan) inclusief de door jouw "veilige reader" gegenereerde code.

En dan zie ik in mijn reader "Je gaat 10.000 euro overmaken aan dido, akkoord?" en dan weet ik dat het foute boel is. Hoe ga jij dat voorkomen?

Antwoord: niet.

Mitm op een offline reader met bevestigingsschermpje is simpelweg onmogelijk. Ontsleuteling van de betaalboodschap vanuit de bank wordt in de reader zelf gedaan dus om tussen die beveiligde verbinding te komen moet je ofwel de reader zelf kraken ofwel de server van de bank. De reader heeft letterlijk nul attack surface, de server van de bank... Tsjah, als die gehackt wordt is mijn bevestigingscode niet het grootste probleem.