[Rabo internetbankieren] Waarom telkens code invoeren? *

10x een code invoeren dan 1x lijkt mij persoonlijk heel wat veiliger. Als dat je stoort, jammer dan denk ik.

De 'klunzen' van de RABO-bank hebben, denk ik, hetzelfde idee gehad. Omdat ook ik een kluns ben vindt ik hun idee uiteraard fantastisch.

Ik denk dat je blij moet zijn dat er zoveel aandacht wordt besteed aan beveiliging. Als er eens €5000 via telebankieren van je gejat wordt piep je wel anders denk ik.

En over die laatste check kan ik het volgende zeggen: deze is er om geautomatiseerde scripts tegen te gaan. Wordt lang niet alleen bij Rabobank gebruikt

Titelfix.

Hoewel ik betwijfel of dit topic wat wordt, laat ik hem voor nu even leven.

[ Voor 22% gewijzigd door Anoniem: 55140 op 25-02-2004 20:01 ]

Trouwens je haalt twee dingen door elkaar, telebankieren en internetbankieren.
Wie is hier nu de grootste kluns?

spaceboy:
Gebruik de edit-knop aub, je zit hier nu lang genoeg om van het bestaan ervan af te weten.

De ABN Amro bank doet precies hetzelfde, en met goede reden.

Omdat het HTTP-protocol stateless is, is het vrij gemakkelijk om een "sessie" over te nemen (man in the middle attack). Als bv. mijn huisgenoot, of iemand bij een ISP, of waar dan ook in het traject tussen mij en de bank mijn verkeer kan sniffen, is het nog net niet triviaal voor diegene om gewoon pakketjes te sturen met mijn session-ID etc. en zo te 'faken' dat ik een betalingsopdracht verstuur. Zodra ik ingelogd ben en iemand mijn session-ID heeft, ben ik dan in feite verloren (ok, misschien moet je nog wat dingen doen met IP's faken e.d. - maar dat is allemaal bekende technologie en je hoeft echt niet briljant te zijn om dat te kunnen).

Daarom wordt dus *elke* keer op het moment dat jij een belangrijke pagina (zoals een overboeking) submit zo'n code gevraagd en meegestuurd met het request waarbij de feitelijke actie uitgevoerd wordt. Een veilig alternatief is er domweg niet, of je moet aan hele andere dingen dan HTTP gaan denken (maar dan kun je het geen 'internet bankieren' meer noemen, aangezien de meeste mensen daarbij denken aan een webinterface, al hoeft dat strikt genomen natuurlijk helemaal niet).


No offense, maar voordat je zo vol overtuiging zelfs de Rabo-bank gaat 'uitschelden' omdat ze hebben geprobeerd dit te voorkomen, zou ik proberen te begrijpen waarom het gaat

De Postbank doet dit trouwens ook, weliswaar met een ander systeem. Op het moment dat je iets overboekt wordt de TAN-code meegestuurd. Als je het ooit gebruikt hebt zal het je opvallen dat ook daar de code opgestuurd wordt met dezelfde request als waarin de gegevens (rekeningnummer, bedrag etc.) staan.

rabobank had toch zo'n prijs gewonnen ofzo? ze waren de op 1 na beste bank qua Internet bankieren in Europa na een Skandinavische bank. Dus het zal best wel goed zijn. Ik gebruik het zelf ook naar volle tevredenheid. Ik heb er geen moeite mee om 2 a 3 keer een code in te voeren. kost me 10 seconden en als dat de beveiliging omhoog schroeft heb ik er zeker geen moeite mee. Ik neem aan dat die laatste "check" code bedoeld is voor hackers e.d.? je moet die code in je random reader invoeren, een hacker heeft als het goed is niet JOUW random reader. Ik denk dat het hem daar in zit of denk ik nu te simpel.

8 cijferig getal gokken heeft niet zoveel zin. Dat merkt degene die internetbankieren gebruikt, aangezien ie er dan uitgegooid zal worden en zn account geblokkeerd zal worden.

Heb ik destijds ook gehad, was iets mis met mn digipass gebeuren. Ik 4x proberen, account geblokkeerd. Bank bellen, opgelost, weer 4x proberen, weer geblokkeerd. Weer bellen, kreeg ik die random reader.

Het ding mag dan wel irritant zijn, maar het ding is veel makkelijker dan dat oude systeem met de digipass: je hoeft nu alleen je banknummer en PIN te onthouden, toen moest je ook je gebruikersnummer en een 5-cijferige PIN onthouden, en moest je hetzelfde typritueel doen bij elke betaling die jij in je topicstart beschrijft.

spaceboy schreef op 25 februari 2004 @ 21:48:
[...]
Anyway, bedankt voor de uitleg, in het vervolg ga ik iets minder pissig die code 3x intypen.

3x? 2x is voldoende lijkt mij:

- Inloggen
Betalingen stacken en dan
- Verzenden

spaceboy schreef op 25 februari 2004 @ 21:48:
[...]
Stateless of niet, ik blijf de extra controle-check vreemd vinden. Als je die namelijk weg zou halen zou je als hacker (of je nou als man-in-the-middle een attack uitvoert of niet) volgens mij nog net zoveel kans hebben om het 8-cijferige getal te gokken als zonder die extra controle (dus alleen met je RANDOM READER en pincode).

Volgens mij zie je nog wat over het hoofd: als je namelijk het controlegetal verkeerd invoert (wat dus gebeurt als je het getal probeert te raden"), moet je direct een (langer) 2de controlegetal invoerreen. Dus 2x controle. (Probeer het maar eens: een verkeerd getal ingeven)

spaceboy schreef op 25 februari 2004 @ 21:48:
Als je die [extra check] namelijk weg zou halen zou je als hacker (of je nou als man-in-the-middle een attack uitvoert of niet) volgens mij nog net zoveel kans hebben om het 8-cijferige getal te gokken als zonder die extra controle (dus alleen met je RANDOM READER en pincode).

Nou: de kans dat je een 8-cijferig getal goed gokt (vooral omdat je maar 4 pogingen hebt) is erg, heel erg klein. 1 op 100 miljoen om precies te zijn (of 1 op 25 miljoen als je de 4 pogingen meetelt). Volgens mij kun je dan beter aan de staatsloterij gaan meedoen

Zonder die extra controle is de kans dat het lukt gelijk aan 1 (het lukt dus altijd), tenminste als je al zover bent dat je iemand z'n sessie kunt overnemen. Zoals gezegd is dat theoretisch gezien echt niet moeilijk, en als het theoretisch mogelijk is kun je er gewoon op wachten tot iemand het ook gaat proberen.

Anyway, bedankt voor de uitleg, in het vervolg ga ik iets minder pissig die code 3x intypen.

Okee, geen probleem

Banken zijn meestal nog niet zo dom als ze er uit zien als het om geld gaat hoor

Dit is heel normaal hoor spaceboy. Banken zijn van nature liever voorzichtig dan gemakzuchtig. En gelukkig maar want zij moeten over mijn centjes waken.

De achterliggende gedachten zijn als volgt:

1e keer inloggen: Jij vult m.b.v. je randomreader en bankpas en pinkode in op de RABO site. Ook dit gaat met een encryptie gepaard.

Nu kan je alleen nog informatie ophalen van jouw rekening account(s). Verder kan je er niet zoveel meer mee doen.

Mocht om wat voor reden dan ook de informatie uitwisseling tussen jouw en de bank ook bij anderen bekend is, kunnen ze er niets mee. Hooguit balen dat je zoveel geld op je rekening hebt staan

Ga je daadwerkelijke transakties uitvoeren, zit er nog een beveiliging ingebouwd. Nu een stuk lastiger te kraken. Wederom met je bankpas, pincode en randomreader. Maar nu komt er een vergelikbare code uit bij de bank. Die heeft nl een code gegenereerd die jij moet intoetsen, waarna de bank kontroleerd of het dezelfde code is. Pas daarna kan je daadwerkelijk transakties doen met je eigen bank account.

Ik begrijp nu even niet waarom je tegen deze gang van zaken bent. Je kan toch logisch nadenkend, begrijpen dat als banken hun hele rekeningenbestand online zetten op het internet, dat zij dat zo veilig mogelijk willen doen tegenover zoveel mogelijk gebruikersgemak?

Ik maak al vele jaren gebruik van rabo internet bankieren en tot grote tevredenheid kan ik je vertellen. Er komen zelfs steeds nieuwe services bij.

Desondanks denk dat je wel een primeur heb met je topic. Volgens mij heb ik nog nooit iemand horen klagen dat een internet beveiliging bij banken TE is....

(ja das een grapje natuurlijk)