Telebankieren, veilig? - Internet en hosting

woensdag 5 mei 2004 01:50

Acties:

Topicstarter

Ik heb even de search gebruikt om te zoeken naar andere topics, die ingaan op de veiligheid van telebankieren. In de search heb ik een aantal topics gevonden, echter is er nergens een topic dat echt diep ingaat op de beveiliging van het telebankieren. Hoe veilig is het nou echt? Om dit te weten te komen open ik dit topic. Ik hoop op tweakers die zich inderdaad verdiept hebben in deze aspecten en dus ook goed kunnen meepraten/discussiëren over dit onderwerp.

Goed zoals gezegd wil ik hier dus de veiligheid van het "fenoneem" telebankieren bespreken. Iedere zelfrespecterende bank biedt anno 2004 wel telebankieren aan. Het is absoluut een zeer handige én zeer efficiënte manier van bankieren. Ik kan hier over mee praten, want ik ben zelf een zeer verwoede gebruiker van de variant die de Rabobank aanbiedt.

Telebankieren is een manier om via het Internet je bankzaken te beheren. De meest recente informatie over de laatste transacties, de actuele saldi, et cetera zijn overal ter wereld beschikbaar. Er zijn een hoop voordelen te bedenken die het gebruik van telebankieren kracht bijzetten, deze voordelen zijn echter op de verschillende websites van iedere bank gemakkelijk terug te vinden. Het is voor een bank vanzelfsprekend niet erg aantrekkelijk om te vermelden wat de nadelen en gevaren zijn van het bankieren via Internet. Daarom wil ik in dit topic eens de minder besproken zijde van het telebankieren belichten, de beveiliging. Mijn inspiratie voor dit topic is ontstaan, omdat ik eigenlijk mezelf betrapte op gemakzucht betreffende dit onderwerp. Een goede vriend (personal note: Theihzen!!

) vroeg me hoe het telebankieren exact beveiligd was, ik kwam echter niet verder dan een zeer matig antwoord. Het lijkt ook zo vanzelfsprekend dat de bank het wel goed regelt. Dit is natuurlijk té gemakzuchtig. Dus is de beveiliging echt wel zo goed? Laten we eens een kijkje nemen achter de schermen bij het telebankieren.

Anno 2004 gebruikt een groot gedeelte van de Nederlandse bevolking deze handige manier om bankzaken te regelen. Telebankieren wordt online geregeld via het Internet. Onterecht wordt vaakt geconcludeerd dat het Internet technisch gezien onveiliger is dan andere netwerken (bijvoorbeeld het telefoonnetwerk). De Internetprotocollen bieden allemaal voldoende mogelijkheden tot zeer goede beveiliging. Maar zoals dat bij andere netwerken ook regelmatig voorkomt, krijgt het onderdeel beveiliging zelden tot nooit voldoende aandacht door naïviteit, tijdgebrek, gemakzucht, finaiciële afwegingen, beheerders en ook leveranciers. Waarom zal dit bij banken niet het geval zijn? Er zitten hier voldoende mensen die exact weten hoe sommige instanties omspringen met beveiliging. En er kunnen nog zulke mooie verhaaltjes verteld worden door de banken, het is natuurlijk belangrijk dat we het zelf is onderzoeken casu quo bespreken.

Ik kan voormezelf alleen maar spreken over Rabobank telebankieren, omdat ik geen ervaring heb met de andere varianten van bv, ABN-AMRO, de Postbank of Fortisbank, et cetera.

De Rabobank maakt gebruik van een zogenaamde randomreader. Wanneer je naar http://www.rabobank.nl surft, en dan het telebankieren onderdeel opzoekt, dien je daar je rekningnummer en het nummer dat op je randomreader verschijnt in te toetsen. Dit nummer kan je verkrijgen door op je randomreader je pincode in te voeren en vervolgens op oké te drukken. Er komt een acht-cijferige code te voorschijn, deze voer je in, et voillà je bent binnen bij je persoonlijke Rabobank telebankieren. Alles wat je doet op het moment is 40-bit gecodeerd (helaas niet 128-bit gecodeerd), zoals de meeste tweakers ook wel weten via DPC, is deze codering op lange termijng best wel te kraken. Echter heeft de Rabobank het zo geregeld dat de code maar voor een bepaalde tijd geldig is. Dit betekent al mocht je de code onderscheppen, dan moet je zowat wel met snelheid van het licht alles wat je wil doen met je gekraakde account realiseren. Dit lijkt me praktisch onmogelijk. De gecodeerde data is in ieder geval nooit realtime te kraken. De lijn waarover je telebankiert via de Rabobank is een SSL2 (Secure Socket Line Layer voor n00bs

) lijn. Redelijk veilig lijkt me dus ook.

Transacties zijn nog eens extra beveiligd omdat je een code die op de website weergegeven wordt in je randomreader moet invoeren. Als je deze code hebt ingevoerd komt er weer een code op je randomreader, deze moet weer ingevoerd worden op de website. Pas als dit alles is gebeurd wordt de transactie gerealiseerd. Zo op het oog lijkt deze manier redelijk waterdicht.

Wat natuurlijk wel kan gebeuren is dat bepaalde mensen gebruikers opvangen en naar nep websites leiden. Deze website ziet er dus exact hetzelfde uit als de originele Rabobank website. Echter voert de gebruiker hier nietsvermoedend zijn gegevens in, deze gegevens worden dus gelogd en kunnen gebruikt worden om misbruik van te maken. Echter moet de hacker/cracker nog supersnel naar de echte site om de gegevens in te voeren, en dan moet er nog een andere code gebruikt worden om een transactie te voltooien. Maargoed het kan soms al interessant zijn om alleen iemands bankgegevens te bekijken, zonder ook maar een transactie te voltooien (bij mij niet

). Om dit soort ellende ook te voorokomen maakt de Rabobank gebruik van zogenaamde "certificates". Deze certificates tonen aan dat je verbinding hebt met een echte Rabobankserver. Dit certificate wordt eerst gecontroleerd en vervolgens wordt de SSL2 verbinding gemaakt.

Dit zijn een beetje mij bevindingen met mijn Rabobank telebankieren. het lijkt allemaal redelijk veilig. Waarschijnlijk zijn er voldoende tweakers die zich hier in verdiept hebben, een andere bank hebben of gewoon iets anders zinnigs toe te voegen hebben aan dit topic.

Ik ben benieuwd naar jullie opnies over de beveiliging en/of wat jullie me kunnen bijbrengen over de beveiliging.

[ Voor 5% gewijzigd door Ibbelz op 05-05-2004 02:20 ]

Even he, to whom most things that most people would think were pretty smart were pretty dumb, thought it was pretty smart.

woensdag 5 mei 2004 02:03

Acties:

bjck

Ibbelz schreef op 05 mei 2004 @ 01:50:

De Rabobank maakt gebruik van een zogenaamde randomreader. Wanneer je naar http://www.rabobank.nl surft, en dan het telebankieren onderdeel opzoekt, dien je daar je rekningnummer en het nummer dat op je randomreader verschijnt in te toetsen. Dit nummer kan je verkrijgen door op je randomreader je pincode in te voeren en vervolgens op oké te drukken. Er komt een acht-cijferige code te voorschijn, deze voer je in, et voillà je bent binnen bij je persoonlijke Rabobank telebankieren. Alles wat je doet op het moment is 40-bit gecodeerd (helaas niet 128-bit gecodeerd), zoals de meeste tweakers ook wel weten via DPC, is deze codering op lange termijng best wel te kraken. Echter heeft de Rabobank het zo geregeld dat de code maar voor een bepaalde tijd geldig is. Dit betekent al mocht je de code onderscheppen, dan moet je zowat wel met snelheid van het licht alles wat je wil doen met je gekraakde account realiseren. Dit lijkt me praktisch onmogelijk. De gecodeerde data is in ieder geval nooit realtime te kraken. De lijn waarover je telebankiert via de Rabobank is een SSL2 (Secure Socket Line voor n00bs ) lijn. Redelijk veilig lijkt me dus ook.

Transacties zijn nog eens extra beveiligd omdat je een code die op de website weergegeven wordt in je randomreader moet invoeren. Als je deze code hebt ingevoerd komt er weer een code op je randomreader, deze moet weer ingevoerd worden op de website. Pas als dit alles is gebeurd wordt de transactie gerealiseerd. Zo op het oog lijkt deze manier redelijk waterdicht.

Wat natuurlijk wel kan gebeuren is dat bepaalde mensen gebruikers opvangen en naar nep websites leiden. Deze website ziet er dus exact hetzelfde uit als de originele Rabobank website. Echter voert de gebruiker hier nietsvermoedend zijn gegevens in, deze gegevens worden dus gelogd en kunnen gebruikt worden om misbruik van te maken. Echter moet de hacker/cracker nog supersnel naar de echte site om de gegevens in te voeren, en dan moet er nog een andere code gebruikt worden om een transactie te voltooien. Maargoed het kan soms al interessant zijn om alleen iemands bankgegevens te bekijken, zonder ook maar een transactie te voltooien (bij mij niet ). Om dit soort ellende ook te voorokomen maakt de Rabobank gebruik van zogenaamde "certificates". Deze certificates tonen aan dat je verbinding hebt met een echte Rabobankserver. Dit certificate wordt eerst gecontroleerd en vervolgens wordt de SSL2 verbinding gemaakt.

Dit zijn een beetje mij bevindingen met mijn Rabobank telebankieren. het lijkt allemaal redelijk veilig. Waarschijnlijk zijn er voldoende tweakers die zich hier in verdiept hebben, een andere bank hebben of gewoon iets anders zinnigs toe te voegen hebben aan dit topic.

Ik ben benieuwd naar jullie opnies over de beveiliging en/of wat jullie me kunnen bijbrengen over de beveiliging.

Secure Sockets Layer (SSL)

Maargoed.

Postbank doet het ietsje anders met hun 'nieuwe' mijnpostbank.nl

Inloggen werkt met een 'generated' login. Dus makkelijk te raden is deze niet. En het wachtwoord wat hierbij nodig is moet ook aan redelijke eisen voldoen zoals een hoofdletter en een cijfer. Is nog niet alles maar okee. (ik zie liever random generated als verplichting).

Dan is het alleen mogelijk om vanaf eigen rekeningen heen-en-weer geld te gooien. Blijft van jezelf dus. (mocht iemand erachter komen).

Om geld over te maken naar derde is een zogenaamde 'TAN-code' nodig. Dit nummer krijg je via een SMS op het door jou opgegeven mobiele telefoon nummer toegezonden. (of via een TAN-formulier maar dat is dus onveiliger omdat die fysiek te stelen is).

De verwachting dat iemand en je login raadt (of kraakt) en het bijbehorende wachtwoord is al klein. Maar dan ook nog je mobile telefoon maakt het redelijk nihil.

(niets is waterdicht natuurlijk)

Verder zijn dezelfde versleutelingen gebruikt als bij de RABO lijkt me. Iedereen maakt gebruik van SSL2.

Een onderschrift moet altijd zinvol zijn.

woensdag 5 mei 2004 02:08

Acties:

Ibbelz

Topicstarter

bjck schreef op 05 mei 2004 @ 02:03:
[...]

Secure Sockets Layer (SSL)

*knip*

LOL, dat bedoel ik. Whisky is bad mmmmkay.

Echter wat ik me nou afvraag, SSL2 is alleen maar het transport gedeelte. Wat gebeurt er daarna, gaan we over op VPN? Op welke manier wordt het versleuteld? L2TP, PPtP, DES of 3DES,? DES of 3DES zijn de beste uitkomsten. Dit omdat deze pakketjes (wanneer onderschept) moeilijk te lezen en analyseren zijn.

Of zit je soms met je telebankieren direct op de server bij de bank? Over welke poort gaat dit dan?

Dat zijn dingen waar ik wel benieuwd naar ben.

[ Voor 67% gewijzigd door Ibbelz op 05-05-2004 02:53 . Reden: Changed in TS. ]

Even he, to whom most things that most people would think were pretty smart were pretty dumb, thought it was pretty smart.

woensdag 5 mei 2004 02:28

Acties:

bjck

Ibbelz schreef op 05 mei 2004 @ 02:08:
[...]

LOL, dat bedoel ik. Whisky is bad mmmmkay.

Ik had ook al zo-iets van: "zal ik wat neerzetten of niet na die pilsjes"....

Een onderschrift moet altijd zinvol zijn.

woensdag 5 mei 2004 02:50

Acties:

NomoDigger

Weet wel dat internettransacties bij de postbank vanaf 23.00 verwerkt worden in de "echte" geldmachinerie. Ook is het (iig voor girotel zakelijk) mogelijk om met 2 verschillende tan-lijsten te werken (moet je ze natuurlijk niet bij elkaar bewaren

). Van de daadwerkelijk toegepaste beveiliging weet ik eerlijk gezegd weinig af. Maar vermoed dat tijdens de overdracht de internet-machine losgekoppeld wordt van internet (of is dat erg vreemd gedacht?).

woensdag 5 mei 2004 03:26

Acties:

Verwijderd

Misschien vind je dit interessant (klikbaar, PDF):

Afbeeldingslocatie: http://www.tweakers.net/ext/f/30880/full.jpg

woensdag 5 mei 2004 23:44

Acties:

Ibbelz

Topicstarter

Verwijderd schreef op 05 mei 2004 @ 03:26:
Misschien vind je dit interessant (klikbaar, PDF):

[afbeelding]

In principe lijkt die presentatie me best interessant. Echter zonder het bijbehorende praatje, is het niet echt helder.

Even he, to whom most things that most people would think were pretty smart were pretty dumb, thought it was pretty smart.

donderdag 6 mei 2004 07:56

Acties:

jongetje

Een van de belangijkste manieren om het veilig te houden voor de gebruiker is een up-to-date browser gebruiken. In oudere versies van IE zijn bijv. lekker gevonden waarmee er een "man in the middel" attack zou kunnen worden uitgevoerd. Up-to-date software is dus echt essentieel, anders kan de bank nog zoveel doen met codes en kastjes en sms-jes mar als je software afteluisteren is heeft dat nog weinig nut.

donderdag 6 mei 2004 08:03

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Op zich is dit voor ons als gebruikers een beetje een non-issue. De banken staan garant voor eventueel misbruik en nemen ten alle tijde de verantwoordelijkheid op zich en vergoeden eventueel geleden schade.

Het blijft natuurlijk een interessante discussie maar niet zo interessant dat je dit aspect zou moeten laten meewegen bij de keuze van een bank.

Exchange en Office 365 specialist. Mijn blog.

donderdag 6 mei 2004 08:06

Acties:

P_de_B

Dit topic heeft ook wel een leuke discussie.

Oops! Google Chrome could not find www.rijks%20museum.nl

donderdag 6 mei 2004 08:07

Acties:

Verwijderd

Interessant topic

Overigens is er volgens mij nog wel een verschil tussen telebankieren en internetbankieren. Je hebt het steeds over telebankieren, maar volgens mij bedoel je internetbankieren.
Telebankieren = via directe modemlijn naar de bank
Internetbankieren = over internet naar de server(/website) van de bank

Of is dit alleen het idee wat ik bij deze woorden heb?

donderdag 6 mei 2004 08:14

Acties:

BlaTieBla

Vloeken En Raak Schieten

Rabobank gebruikt 40bit SSL ipv 128bit SSL, omdat bij gebruik van een 128bit SSL certificaat er bij ouder OS'en problemen kunnen geven (puur compatibiliteits issue).

De moderne browsers 'upgraden' die 40 bit SSL verbinding automatische naar 128bit SSL. ECHTER de public key waarmee het sessiekey wordt uitgewisseld kan niet worden opgewaardeerd en die kan dus 512bit zijn.

zwakke SSL: 40bit [DES] / 512bit [RSA]
Sterke SSL: 128bit [3DES] / 1024-2048bit [RSA]
Combinaties (browser afhankelijk): mix van bovenstaande.

Bij die combinaties moet gezegd worden dat een ketting zo sterk is als de zwakste schakel. Het heeft weinig toegevoegde waarde om een 128bit 3DES sesiekey uit te wisselen op basis van een 512bit RSA certificaat (of omgekeerd).

leica - zeiss - fuji - apple | PSN = Sh4m1n0

donderdag 6 mei 2004 08:17

Acties:

Verwijderd

[ Voor 101% gewijzigd door Verwijderd op 31-10-2023 22:25 ]

donderdag 6 mei 2004 08:26

Acties:

Max|Burn

-- .. ... .--- .- .-.-.-

BlaTieBla schreef op 06 mei 2004 @ 08:14:
Rabobank gebruikt 40bit SSL ipv 128bit SSL, omdat bij gebruik van een 128bit SSL certificaat er bij ouder OS'en problemen kunnen geven (puur compatibiliteits issue).

Euh, nee Rabobank gebruikt 128bit en als de browser het niet aankan een 40bit ssl.

ma ma ma ma ma macron one

donderdag 6 mei 2004 08:42

Acties:

Janoz

Moderator Devschuur®

!litemod

Deze Kan internetbankieren veilig zijn? niet gevonden?

De door hasse_m voorgestelde methode kan werken, het is alleen heel erg lastig om de site over te nemen. In theorie werkt het wel, maar in de praktijk is het heel erg lastig om een parser te maken die de site van de bank goed interpreteerd en op de juiste plekken aanpast. De bank doet er natuurlijk alles aan om die pagina (ondanks hetzelfde uiterlijk) telkens zo verschillend mogenlijk te maken (random formuliernamen ed).

Het grote voordeel van het gebruik van een token (dat rekenmachientje dat een code genereert) is dat een hacker of trojan nooit dat apparaat over kan nemen. Hierdoor blijft een eventuele inbraak poging tot een eenmalige actie beperkt. Een hacker kan nooit permanent je internet bankieren overnemen en maar geld gaan overmaken waneer hij dat wil.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

donderdag 6 mei 2004 08:57

Acties:

Verwijderd

[ Voor 101% gewijzigd door Verwijderd op 31-10-2023 22:25 ]

donderdag 6 mei 2004 09:30

Acties:

BlaTieBla

Vloeken En Raak Schieten

MaxBurn schreef op 06 mei 2004 @ 08:26:
[...]
Euh, nee Rabobank gebruikt 128bit en als de browser het niet aankan een 40bit ssl.

Rabobank gebruikt een Secure Server Certificaat. Dit certificaat heeft de eigenschap standaard 40bit encryptie te hebben. Moderne browsers waarderen dit zelf op naar 128bit. Dat de public key in dit geval 1024bit wil niet zeggen dat het een global server certificaat is. De public key grootte wordt bepaald door het aanvraag proces (bij de rabobank).

Bij een global server certificaat wordt 128bit vanaf de server afgedwongen. Nadeel is dat sommige oudere OS'en en browsers geen SSL verbinding op kunnen zetten met de server. Daarom een secure server certificaat, omdat die altijd werken.

Meer info over het verschil tussen Secure Server (40bit) en Global Server (128bit) certificaten: http://www.verisign.com/products/site/secure/Secure-Site.pdf

Let wel in de USA hebben ze het over Commerce Site (secure server) en Commerce Site Pro (global server).

leica - zeiss - fuji - apple | PSN = Sh4m1n0

donderdag 6 mei 2004 11:50

Acties:

SPee

ABN-AMRO doet het iets anders dan de Rabo.
Ze hebben ook een kaartlezer waar je je pinpas moet instoppen.
Als je dan inlogt op de site krijg je een bepaalde code.
Deze moet je dan invullen in de lezer en dan krijg je een code terug en die moet je invullen.

Als je een betaling wilt plegen, moet je ook daar weer die procedure voor herhalen. Alleen wordt die code random én uit je ingevulde gegevens gehaald.
Samen met SSL is het toch redelijk veilig.

Maar toch bevelen ze het wel aan om toch naar het beveiligings certificaat te kijken.
En het gemak dat het oplevert, is waardevoller dan de kans dat het fout kan gaan.

let the past be the past.

donderdag 6 mei 2004 11:54

Acties:

ZeRoC00L

SPee schreef op 06 mei 2004 @ 11:50:
ABN-AMRO doet het iets anders dan de Rabo.
Ze hebben ook een kaartlezer waar je je pinpas moet instoppen.
Als je dan inlogt op de site krijg je een bepaalde code.
Deze moet je dan invullen in de lezer en dan krijg je een code terug en die moet je invullen.

Lijkt me exact hetzelfde als de Rabo Random Reader

[*] Error 45: Please replace user
Volg je bankbiljetten

donderdag 6 mei 2004 12:55

Acties:

Verwijderd

SPee schreef op 06 mei 2004 @ 11:50:
Maar toch bevelen ze het wel aan om toch naar het beveiligings certificaat te kijken.

Met de kennis die hierboven wordt genoemd lijkt me dat sowieso altijd verstandig.

En het gemak dat het oplevert, is waardevoller dan de kans dat het fout kan gaan.

Hmm, ik weet niet hoeveel jij op je rekening hebt, maar ik denk dat de meeste mensen het hier niet mee eens zijn. Kijk 100% dicht krijg je waarschijnlijk nooit voor elkaar. Maar om nou te zeggen dat het handig/makkelijk is, dus mag het ook wel een beetje onveilig zijn? Dat lijkt me nou niet.
Het moet ten eerste veilig genoeg zijn, als het dan ook nog gebruikersvriendelijk is, nou da's dan mooi meegenomen.

[ Voor 3% gewijzigd door Verwijderd op 06-05-2004 12:56 ]

dinsdag 18 mei 2004 21:38

Acties:

Verwijderd

Zowel de random reader als e-dentifier betreffen challenge/respons-tokens. Door de bankpas erin te stoppen worden bij het berekenen van de toegangsgegevens of elektronische handtekening, persoonsgebonden gegevens meegenomen. In tegenstelling tot ABN, behoef je bij Rabobank geen invoer te geven, alvorens je kan inloggen. Dit komt omdat bij de Rabobank in het geval van inloggen de invoer de tijd is. Dit scheelt weer een paar handelingen en is derhalve gebruikersvriendelijker.

Bij een elektronische handtekening is het onoverkomelijk en moet altijd een getal worden ingevoerd. Dit is inderdaad een waarde die is berekend op basis van onder andere de transactie (hash). Wanneer er bijvoorbeeld een ander bedrag moet worden overgemaakt, verandert ook de code die je in de apparaatje moet invoeren. Nadat je een transactie hebt opgesteld, wordt de bijbehorende code door de bank berekend. Deze code moet je in je apparaatje (met bankpas) invoeren. Daarna (of ervoor) moet je je pincode invoeren, die de berekening start. In de berekening worden geheime gegevens meegenomen die op bankpas staan. De uitvoer voer je in op de webpagina en wordt naar de bank verzonden. De bank kan op basis van de uitkomst bepalen wie de transactie heeft geïnitieerd. Doordat deze authenticiteit is gebaseerd op zowel bezit (bankpas) als kennis (pincode) wordt dit gezien als een sterkte authenticatiemethode.

SSL is nodig zodat er geen man-in-the-middle kan zitten. Je explorer controleert het certificaat van de bank. Wanneer je alle windows-updates hebt geïnstalleerd, kan je ervan uitgaan dat de houder van het certificaat ook daadwerkelijk de bank is. Er kan dan geen man-in-the-middle tussenzitten.

Ik weet te weinig van Trojan Horses, maar ik denk dat dit niet gaat werken. Waarschijnlijk zal de bank bij het berekenen van de invoercode een geheim gegeven meenemen, dat alleen bij de bank bekend is. Bij het valideren van de elektronische handtekening komt dan vermoedelijk aan het licht dat dit onmogelijk een elektronisch handtekening kan zijn waar de bank iets mee te maken heeft gehad (dit is gissen, weet ik niet zeker).

Op de vraag of de bank zijn backoffice-systemen goed heeft beveiligd, kan ik ja zeggen. Ten aanzien van deze systemen zijn er commissies ingesteld die dit controleren. Hiervoor gelden algemene regels waaraan alle banken zich dienen te houden.

Daarnaast…..is het veilig genoeg? Ja, voor deze toepassing wel. Veel banken hebben de rekeninghouder namelijk verplicht om zijn afschrift te controleren. Wanneer er malafide transacties opstaan, kunnen deze (binnen ?14 dagen?) worden teruggedraaid. Er is dus een soort van vangnet.

dinsdag 18 mei 2004 21:54

Acties:

Werkbouwtuig

ZeRoC00L schreef op 06 mei 2004 @ 11:54:
[...]

Lijkt me exact hetzelfde als de Rabo Random Reader

Nee, het gaat net ff anders.

De ABN werkt met een request code (8 cijfers) die je intypt en dan krijg je een return code (6cijfers, wel eerst pin invoeren natuurlijk).

De RABO daarentegen, moet je een PIN intoetsen en dan op I drukken. Het essentiele verschil zit volgens mij in dat er bij de RABO mischien wel eens meerdere goede mogelijkheden zouden kunnen zijn.
Dit is mischien bij de ABN ook wel zo omdat er voor elke returncode 100 requestcodes zijn, uitgegaan van een evenredige verdeling.

Iemand die daar iets meer duidelijkheid over kan verschaffen?

Edit: ik moet eens niet alles tegelijk doen en gewoon sneller typen

[ Voor 5% gewijzigd door Werkbouwtuig op 18-05-2004 21:55 ]

dinsdag 18 mei 2004 22:05

Acties:

Verwijderd

^^^ PIN intoetsen

hoe weet dat apparaat jouw pincode nou?

of zit ik er naast? don't blame me, ik ben postbank-klant. die werken zoals al gepost met smsjes

dinsdag 18 mei 2004 22:08

Acties:

Erkens

Fotograaf

Verwijderd schreef op 18 mei 2004 @ 22:05:
^^^ PIN intoetsen

hoe weet dat apparaat jouw pincode nou?

of zit ik er naast? don't blame me, ik ben postbank-klant. die werken zoals al gepost met smsjes

volgens mij (ja ook postbank-klant

) staat de pincode op de pas, en niet ergens centraal opgeslagen behalve bij de bank zelf.

dinsdag 18 mei 2004 22:11

Acties:

Verwijderd

Erkens schreef op 18 mei 2004 @ 22:08:
[...]

volgens mij (ja ook postbank-klant ) staat de pincode op de pas, en niet ergens centraal opgeslagen behalve bij de bank zelf.

lijkt me sterk. bij pinnen belt dat apparaat altijd in op interpay. bovendien lopen de banken ons al vijftien jaar te melden dat pinnen veilig is omdat de code niet op je pas staat

dinsdag 18 mei 2004 22:14

Acties:

Erkens

Fotograaf

Verwijderd schreef op 18 mei 2004 @ 22:11:
[...]

lijkt me sterk. bij pinnen belt dat apparaat altijd in op interpay. bovendien lopen de banken ons al vijftien jaar te melden dat pinnen veilig is omdat de code niet op je pas staat

mja, het zal wel, ik heb er geen verstand van, mij is ooit vermeld dat die pincode nergens opgeslagen was

maar idd, lijkt het me niet veilig idd als die code op de pas staat

en over dat bellen, er wordt ook gekeken of je saldo toereikend is e.d.

dinsdag 18 mei 2004 22:31

Acties:

IceM

Nou, ik heb het net even getest, maar hij zegt dus wel lekker dat je pincode niet goed is als je een verkeerde pin intoetst

Hij zal er dus wel degelijk op moeten staan in enige vorm, en de RandomReader zal hem dan wel net zo kunnen encrypten als dat hij erop staat.

...

dinsdag 18 mei 2004 22:34

Acties:

Verwijderd

[edit:] je was me net voor [/edit]

De pincode staat zeker op de pas. Dit is onoverkomelijk voor het telebankieren. Immers, je moet je pincode invoeren in het challenge/response-token zodat je het geheime gegeven (die in de chip staat) kan worden ontsloten. Dit apparaatje is niet aangesloten op wat voor een netwerk dan ook. Hij detecteert meteen, als de pincode verkeerd is ingevoerd.

De pincode is beveiligd en versleuteld opgeslagen in o.a. de chip (vb. hash). Dus op basis van de hash kan je niet meteen de originele pincode achterhalen. Daarnaast is er een mechanisme ingebouwd dat de bankkaart blokkeerd wanneer de pincode driemaal verkeerd is ingevoerd.

[ Voor 25% gewijzigd door Verwijderd op 18-05-2004 22:37 ]

dinsdag 18 mei 2004 22:48

Acties:

Verwijderd

De pincode staat zowel op de pas, als in het centrale systeem van de bank.

Toen de pincode ingevoerd werd hebben de banken er een heel sterk statement over gemaakt dat dit laatste absoluut niet het geval zou zijn. Toen een bank het voor elkaar kreeg klanten per post een nieuwe pinpas toe te sturen, waarbij de oude pincode behouden werd, moest men deze bewering laten vallen.

(immers hoe kan een bank een pinpas maken met dezelfde pincode, zonder de originele pas te hebben en zonder de code in het eigen systeem te hebben staan)

Is nog een hoop ophef over geweest.

[ Voor 102% gewijzigd door Verwijderd op 18-05-2004 23:08 ]

dinsdag 18 mei 2004 22:58

Acties:

Verwijderd

right, dat was het. ze hebben het wel beweerd, maar het klopt niet

//en da's misschien ook de reden dat je nu bij de postbank met smsjes moet werken. postbank heeft voor alles altijd al een ander systeem gehad, dus het zou kunnen dat dat voor pincodes ook zo was

net als dat chipper/chipknip gezeik

[ Voor 66% gewijzigd door Verwijderd op 18-05-2004 22:59 ]

dinsdag 18 mei 2004 23:06

Acties:

Verwijderd

Nee, dat is niet de reden. De pincode wordt bij internetbankieren namelijk niet gebruikt door de bank. Doordat jij een pincode invoert, worden jouw geheime sleutels (die op je chip staan) ontsloten. Deze worden gebruikt bij berekenen van de elektronische handtekening. Voor het valideren gebruikt de bank dezelfde sleutels (want deze sleutels hebben zij in hun backoffice in databases opgeslagen).

Waarom ING/Post Bank weer anders doet, gewoon omdat zij voorheen met TAN werkten en dit een goedkopere oplossing is dan geheel nieuwe kaarten (met geheime sleutels) uit te geven. Ze hebben overigens ook nog een tussen oplossing gehad. Een challenge/response-token dat persoonsgebonden was (zoiets als de oude digopas van Rabobank). Dit apparaatje kon zelfs een barcode (de challenge) die op het scherm werd getoond inlezen en vervolgens de repsonse berekenen.

//Er moet ergens een online presentatie (filmpje) van Rabobank zijn (mpeg met geluid) maar ik kan hem nu niet meer vinden. Mocht ik heb tegenkomen, dan post ik hem alsnog.//

[ Voor 31% gewijzigd door Verwijderd op 18-05-2004 23:10 ]

dinsdag 18 mei 2004 23:11

Acties:

Erkens

Fotograaf

Verwijderd schreef op 18 mei 2004 @ 23:06:
Waarom ING/Post Bank weer anders doet, gewoon omdat zij voorheen met TAN werkten en dit een goedkopere oplossing is dan geheel nieuwe kaarten (met geheime sleutels) uit te geven.

dat lijkt me niet de reden eerlijk gezegt, immers ik heb nu al mijn derde pas van de postbank sinds ik bij hun zit. Eerst moest ik een nieuwe pas omdat er dan een chipper opzat, en nu laatst weer omdat deze en was verlopen, en omdat de chipper hard geflopt was

Dus in tussen hadden ze best die passen kunnen aanpassen. Zelf vind ik het TAN systeem (zeker icm die SMSjes) erg handig werken.

dinsdag 18 mei 2004 23:17

Acties:

Verwijderd

Bedoelde eigenlijk dat zij dan hun hele uitgifteproces en productieproces moesten aanpassen. Nl. passen die sleutels kunnen bezitten, backoffice-systemen die koppelingen bijhouden tussen sleutels en personen ect. Daarnaast moeten ook de challange/response-tokens worden aangeschaft (vrij kostbaar). SMS-authenticatie is duidelijk een goedkopere oplossing. Immers, iedereen is veelal in het bezit van een GSM-telefoontoestel.

Persoonlijk vind ik een nadeel van TAN-lijsten dat je die altijd bij je moet dragen(idd de pas ook, maar die heb ik toch al altijd bij me), TAN-lijsten kunnen opraken en dus een nieuwe moet worden aangevraagd en dat ze minder veilig zijn (immers, codes zijn op voorhand bekend). Maar goed, dat is hoe zij het vroeger gebruikte, geen idee hoe ze het heden hebben geïmplenteerd.

[ Voor 14% gewijzigd door Verwijderd op 19-05-2004 10:28 ]

dinsdag 18 mei 2004 23:22

Acties:

Erkens

Fotograaf

Verwijderd schreef op 18 mei 2004 @ 23:17:
Bedoelde eigenlijk dat zij dan hun hele uitgifteproces en productieproces moesten aanpassen. Nl. passen die sleutels kunnen bezitten, backoffice-systemen die koppelingen bijhouden tussen sleutels en personen ect. SMS-authenticatie is duidelijk een goedkopere oplossing.

Persoonlijk vind ik een nadeel van TAN-lijsten dat je die altijd bij je moet dragen(idd de pas ook, maar die heb ik toch al altijd bij me), TAN-lijsten kunnen opraken en dus een nieuwe moet worden aangevraagd en dat ze minder veilig zijn (immers, codes zijn op voorhand bekend). Maar goed, dat is hoe zij het vroeger gebruikte, geen idee hoe ze het heden hebben geïmplenteerd.

Als je kiest voor een TAN lijst dan krijg je steeds een nieuwe opgestuurd op het moment dat ze bija op zijn, ik geloof als je er nog 25 hebt. Echter je kan ook kiezen voor elke keer een gratis SMS zodra je je betalingen verstuurd, deze SMS komt direct aan en mocht het zo zijn dat deze niet aangekomen is kan je een 0800 nummer bellen en een code intoetsen.
Als je in het buitenland bent, kan je geen SMS ontvangen, echter je kan wel een TAN voorraad aanvragen die ge-SMSed wordt.

Maar ehm, zon kaart lezer elke keer mee sjouwen, dat lijkt mij nu niks?

dinsdag 18 mei 2004 23:28

Acties:

Verwijderd

Het is geen klein compact apparaatje inderdaad, maar ze zijn generiek. Derhalve hoef ik er dus niet zuinig mee om te gaan. Zo ligt er een Random Reader op mijn werk, thuis en in laptop tas. Mocht ik er geen vinden, dan kan ik bv. een collega vragen of die het apparaatje bij zich heeft.

Maar ach, het blijft bij welke bank dan ook, niet super gebruikersvriendelijk.

Mijn toekomstvisie: er komt één op PKI (=beveiligings techniek met certificaten) gebaseerde kaart. Die kaart kan worden gebruikt als reisdocument (paspoort), online shoppen, online bankzaken regelen enz. In die tjid zijn alle PC's ook standaard voorzien van een smartcardreader (PKI-paslezer) en behoeven we dus geen additionele apparatuur mee te sjouwen

woensdag 19 mei 2004 08:53

Acties:

Janoz

Moderator Devschuur®

!litemod

Trouwens, de pincode zelf staat niet op je pinpas. Er staat wel een soort controle getal op waarmee de random reader je ingetoetste pincode kan verifieren. Dit is waarschijnlijk meer een vorm van gebruikersvriendelijkheid. Het is natuurlijk veel prettiger om gelijk te zien of je pincode goed was, dan daarachter te komen waneer je net je toegangscode ingetikt hebt en al op de volgende pagina bent.

Het valt te vergelijken met een password hash in een DB. Je kunt heel snel controleren of een ingevoerde waarde de juiste is, maar vanaf het controle getal kun je niet terugkomen naar de pincode. Als ze bij de bank een beetje slim zijn hebben ze een injectieve mapping gekozen zodat een controle getal alsnog 100 verschillende pincodes op zou kunnen leveren (is heel simpel door het controle getal maar tussen 0 en 100 te laten liggen

). Het zou dus best kunnen dat je 1 van de andere pincodes raad en probeert en je random reader alsnog een controle getal oplevert, deze is dan echter weer ongeldig waneer je daadwerkelijk probeert in te loggen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 19 mei 2004 09:04

Acties:

gekkie

Volgens mij is het grootste veiligheids risico een client waar door iemand een keylogger/remote desktopachtig iets en aanverwante zaken zijn geinstalleerd. Op die manier heeft de SSL2 geen zin, enige is nog de random code die je niet hebt, cq al gebruikt is zodat je hem niet nog eens kunt gebruiken.
Wel zou je kunnen proberen om snel het rekeningnummer of iets te wijzigen. Maar dan nog ben jij zelf natuurlijk weer traceerbaar aan het rekeningnummer waar jij hebt op over laten boeken.

woensdag 19 mei 2004 09:42

Acties:

Verwijderd

Ten eerste, je pincode is mijns inziens inderdaad opgeslagen in chip op bankkaart als een hash-waarde (one-way). Nadat je je pincode invoert, zal het apparaatje de hash-waarde berekenen die behoort bij de ingetoetste pincode. Dit resultaat vergelijkt hij met de waarde zoals vastgelegd in de chip van de bankkaart. De kans dat je een andere pincode intoetst die dezelfde hashwaarde oplevert als de originele pincode is nihil. Hierdoor detecteert het apparaatje het direct als er een verkeerde pincode wordt ingetoetst.

Ten tweede, een bankrekeningnummer kan je niet wijzigen tijdens transport zonder dat dit wordt opgemerkt. Immers, de elektronische handtekening (=de waarde die is berekend met het apparaatje) is gebaseerd op de gehele transactie (dus bedrag, rekening en datum). Mocht één van deze waarde wijzigen tijdens transport, dan wordt dit direct door de bank gedetecteerd wanneer de elektronische handtekening wordt gevalideerd. Mijns inziens zit het grootste gevaar niet tijdens transport maar op het moment dat de waarde wordt berekend die je in het apparaatje moet invoeren. Mocht er een man-in-the-middel tussen zitten, dan zou deze de door jou opgegeven transactie kunnen wijzigen en deze doorgeven aan de bank. De bank zal op basis van deze transactie een invoerwaarde berekenen. Deze waarde zal aan jou (als eigenaar van bankkaart) worden gepresenteerd en jij maakt hier vervolgens een elektronische handtekening van (=invoeren in apparaatje en berekenen uitkomst). Op deze wijze zou het mogelijk zijn dat een ander bedrag, naar een andere rekening wordt gestort. Dit is oplosbaar door SSL. Op deze wijze weet je als gebruiker zeker dat je communiceert met de bank en niet met een man-in-the-middle.

[ Voor 5% gewijzigd door Verwijderd op 19-05-2004 09:44 ]

woensdag 19 mei 2004 09:57

Acties:

Hann1BaL

Do you stay for dinner?Clarice

Verwijderd schreef op 18 mei 2004 @ 23:28:
Het is geen klein compact apparaatje inderdaad, maar ze zijn generiek. Derhalve hoef ik er dus niet zuinig mee om te gaan. Zo ligt er een Random Reader op mijn werk, thuis en in laptop tas. Mocht ik er geen vinden, dan kan ik bv. een collega vragen of die het apparaatje bij zich heeft.

Maar ach, het blijft bij welke bank dan ook, niet super gebruikersvriendelijk.

Mijn toekomstvisie: er komt één op PKI (=beveiligings techniek met certificaten) gebaseerde kaart. Die kaart kan worden gebruikt als reisdocument (paspoort), online shoppen, online bankzaken regelen enz. In die tjid zijn alle PC's ook standaard voorzien van een smartcardreader (PKI-paslezer) en behoeven we dus geen additionele apparatuur mee te sjouwen

zodat mensen met verkeerde ideeën maar 1 beveiliging hoeven te kraken om alles van je te veranderen, bankrek leegtrekken enzo??

Ik vind de topictitel alleen nogal fout. Gaat over telebankieren, maar ga naar de rabobank, telebankieren gaat via de telefoon en internetbankieren via de pc.
Wordt hier door elkaar gehaald

@ Erkens:
Als het over de rabobank gaat is telebankieren toch echt wat anders dan internetbankieren, dus is het niet algemeen.

[ Voor 6% gewijzigd door Hann1BaL op 19-05-2004 10:16 ]

woensdag 19 mei 2004 10:02

Acties:

Erkens

Fotograaf

Hann1BaL schreef op 19 mei 2004 @ 09:57:
Ik vind de topictitel alleen nogal fout. Gaat over telebankieren, maar ga naar de rabobank, telebankieren gaat via de telefoon en internetbankieren via de pc.
Wordt hier door elkaar gehaald

[q]
te·le·ban·kie·ren (onov.ww.)

met behulp van moderne communicatiemiddelen handel drijven in geld

dus ook via internet

[ Voor 4% gewijzigd door Erkens op 19-05-2004 10:03 ]

woensdag 19 mei 2004 10:11

Acties:

Verwijderd

Hann1BaL schreef op 19 mei 2004 @ 09:57:
[...]
zodat mensen met verkeerde ideeën maar 1 beveiliging hoeven te kraken om alles van je te veranderen, bankrek leegtrekken enzo??

Het zal toch de kant opgaan van één kaart voor meerdere diensten. Dit is zelfs een uitgangspunt van de overheid (zie Andere Overheid). Dat een beveiligstechniek wordt gekraakt is altijd een risico, maar de kans dat PKI wordt gekraakt (zolangde sleutel in de tijd steeds wordt verlengd) is vooralsnog nihil. Ook rechtsgeldige elektronische handtekeningen zijn in praktijk gebaseerd op deze techniek. Mocht de encryptietechniek achter PKI worden gekraakt dan hebben we sowieso een probleem. Hiernaast wil ik even opmerken dat het in de papieren wereld ook al zo is. Je paspoort kan ook voor al deze zaken worden ingezet (vb. bankrekening openen, videopasje aanvragen, transacties plegen enzo).

[ Voor 23% gewijzigd door Verwijderd op 19-05-2004 10:20 ]

woensdag 19 mei 2004 10:13

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Jazzy schreef op 06 mei 2004 @ 08:03:
Op zich is dit voor ons als gebruikers een beetje een non-issue. De banken staan garant voor eventueel misbruik en nemen ten alle tijde de verantwoordelijkheid op zich en vergoeden eventueel geleden schade.

Het blijft natuurlijk een interessante discussie maar niet zo interessant dat je dit aspect zou moeten laten meewegen bij de keuze van een bank.

Dan moet je toch even je telbankieren-overeenkomst nog eens goed doorlezen, en dan blijkt dat de bank dus geen enkele garantie daarvoor levert. Als iemand hoe dan ook je telebankieren misbruikt, dan ben jij zelf verantwoordelijk, net zoals met je pinpas.

Nothing is a problem once you've debugged the code

woensdag 19 mei 2004 10:17

Acties:

Verwijderd

Toch wil ik dan even terugkomen op een eerder geplaatste opmerking. Je moet als rekeninghouder je afschrift controleren. Mochten hier malafide transacties op staan, dan kan je deze (ik dacht binnen 14 dgn) laten terugdraaien. Reageer je niet binnen die twee weken, dan stem je stilzwijgend in met de transacties en zijn deze definitief.

[ Voor 4% gewijzigd door Verwijderd op 19-05-2004 10:17 ]

woensdag 19 mei 2004 10:22

Acties:

Verwijderd

Heee Ibbelz, onder welke steen kom jij vandaan gekropen? Wake up, dude!

woensdag 19 mei 2004 10:34

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Even als toevoeging het volgende. Alle middelen die die bank je aanbiedt om van je geld gebruik te maken zijn inherent onveilig. Op je pinpas staat wel degelijk (one-way encrypted) je pincode opgeslagen. Een pinautomaat kan aldus doordat jij je pincode intoetst deze hashen en vergelijken met wat er op je pinpas staat en zo checken of jij de goede pincode hebt ingetoetst. Daar er slechts 9.999 pincodes zijn, is het betrekkelijk eenvoudig deze has terug te berekenen, als je maar genoeg pincodes en passen hebt. De hash is namelijk altijd gelijk anders zou het hele systeem niet werken. De bank stelt echter jou aansprakelijk als iemand jouw pas gebruikt, je zou dan onveilig met je pincode zijn omgegaag. Een paar jaar geleden, voor de ouderen onder ons, was er een duits computerprogramma in geslaagd een programma te maken dat na het inlezen van een pinpas ergens tussen de 10 en de 15 codes op het scherm plaatste waarbij gegarandeerd 1 van de getallen je pincode was. Een test live op TV gaf dit ook aan, van alle ingelezen passen gaf de eigenaar aan dat de pincode er bij stond.

De ChipKnip is nog onveiliger, zelfs zo onveilig dat de banken het proces hebben 'beveiligd' door er een gesloten cirkle van te maken. Met andere woorden, jij laadt je chipknip op. Dat wordt geregistreerd (1 euro naar pas 1234567). Dan betaal je bij de bakker en dat wordt geregistreerd (1 euro van pas 1234567 naar ontvanger 7654321). ALs de bakker z'n ontvangapparaat naar de bank brengt om te ontwaarden, kan jouw betaling dus weer teruggevonden worden. Een simpel programma controleert dan of die euro die jij uitgegeven hebt er eerst wel op gezet is. Als dat niet het geval is, dan heb jij gefraudeerd. jij moet dan bewijzen dat je het niet gedaan hebt. Ook weer, net nadat de chipknip werd geïntroduceerd kwam een nijmeegse professor met een groot stuk in de krant hoe onveilig de chipknip wel niet was. Die wiskune prof gaf ook aan dat het feitelijk onkraakbaar gemaakt kon worden echter dan zou de bank het cirkeltje kwijt zijn, en dus een mogelijke fraude niet meer kunnen opsporen.

Telebankieren zelf staat of valt bij de zin van de gebruiker om te controleren of hij veilig bezig is. Elke gebruiker krijgt van z'n bank te horen dat hij regelmatig het certificaat moet controleren, alleen moet bankieren als het 'sleuteltje' of 'slotje' aan staat en ga zo maar door. Maar hoeveel mensen doen dit daadwerkelijk. Bijna niemand dus. Hoeveel mensen letten niet op meekijkers als ze de pincode intoetsen. Hoeveel mensen laten niet hun pasjes zomaar slingeren, en ga zo maar door. Rabo's systeem met de 'rekenmachine' is best veilig, het werkt op basis van een fixed key ( je overeenkomstnummer) die bij de bank bekend is, en in je 'rekenmachine' (niet de random reader dus) staat, met een pincode waarmee de rekenmachine een code kan berekenen, en een tijdsfactor. De rekenmachine berekent steeds aan de hand van de huidige tijd een code, welke de bankcomputer ook kan berekenen op basis van je overeenkomstnummer. Als die ovbereen komen, dan mag je verder. Ik heb het een paar keer gehad dat de rekenmachine 'achter' begon te lopen, en dan doet hij het dus niet meer.

Maar zoals al gezegd, veiligheid staat en valt bij de gebruiker. Wat is er nou helemaal mis met een certificate popup die je dwingt om te checken of je veilig bezig bent ? technisch helemaal niks, maar het is niet 'makkelijk'. En daarom wordt er ingeleverd op veiligheid ten behoeve van het bedieningsgemak.

Tot er een keer iets mis gaat, en de bank netjes aantoont dat de gebruiker niet goed heeft opgelet,. Dan zijn wel alle poppen aan het dansen.....

Nothing is a problem once you've debugged the code

woensdag 19 mei 2004 10:35

Acties:

DaRealRenzel

Overtuigd Dipsomaan

Verwijderd schreef op 19 mei 2004 @ 10:17:
Toch wil ik dan even terugkomen op een eerder geplaatste opmerking. Je moet als rekeninghouder je afschrift controleren. Mochten hier malafide transacties op staan, dan kan je deze (ik dacht binnen 14 dgn) laten terugdraaien. Reageer je niet binnen die twee weken, dan stem je stilzwijgend in met de transacties en zijn deze definitief.

Moet je eens proberen... Alleen een incasso kun je terug laten storten (storno), maar een ovberboeking die jij zelf gedaan hebt mooi niet.

Nothing is a problem once you've debugged the code

woensdag 19 mei 2004 10:48

Acties:

Verwijderd

DaRealRenzel schreef op 19 mei 2004 @ 10:34:
....Rabo's systeem met de 'rekenmachine' is best veilig, het werkt op basis van een fixed key ( je overeenkomstnummer) die bij de bank bekend is, en in je 'rekenmachine' (niet de random reader dus) staat, met een pincode waarmee de rekenmachine een code kan berekenen, en een tijdsfactor. De rekenmachine berekent steeds aan de hand van de huidige tijd een code, welke de bankcomputer ook kan berekenen op basis van je overeenkomstnummer. Als die ovbereen komen, dan mag je verder. ....

Random Reader werkt eigenlijk hetzelfde als de zogenaamde Digipas. Echter is de 'key' bij de Random Reader niet in het apparaatje opgenomen (dit is wel het geval bij de Digipas), maar op de bankkaart zelf. Dze sleutel is ook bekend bij de bank. Na het invoeren van je pincode wordt deze sleutel onsloten. Vervolgens kan je op basis van tijd en die sleutel een toegangscode berekenen. De bank verricht dezelfde handeling (bepaalt op basis van je inlognaam, je rekeningnummer, welke key bij jou hoort).

[ Voor 3% gewijzigd door Verwijderd op 19-05-2004 10:49 ]

woensdag 19 mei 2004 10:50

Acties:

Verwijderd

DaRealRenzel schreef op 19 mei 2004 @ 10:35:
[...]

Moet je eens proberen... Alleen een incasso kun je terug laten storten (storno), maar een ovberboeking die jij zelf gedaan hebt mooi niet.

Hmmz, ik dacht dat dit wel kon. Ofschoon in de voorwaarden is opgenomen dat de bank geen enekele aansprakelijkheid heeft, kan je als houder toch een transactie laten terugdraaien. Echter moet je wel aantonen dat je voldoende veilig met je bankkaart bent omgegaan.

woensdag 19 mei 2004 11:41

Acties:

sniklaas

asjemenou

ik hoor of lees niks over fortis bank online bankieren ??????

woensdag 19 mei 2004 11:50

Acties:

Hann1BaL

Do you stay for dinner?Clarice

DaRealRenzel schreef op 19 mei 2004 @ 10:34:
Een simpel programma controleert dan of die euro die jij uitgegeven hebt er eerst wel op gezet is. Als dat niet het geval is, dan heb jij gefraudeerd. jij moet dan bewijzen dat je het niet gedaan hebt.

Dat is onzin. In NL moet altijd bewezen worden dat jij een overtreding begaan hebt. je hoeft nooit je onschuld aan te tonen!

woensdag 19 mei 2004 12:06

Acties:

Verwijderd

Hann1BaL schreef op 19 mei 2004 @ 11:50:
[...]

Dat is onzin. In NL moet altijd bewezen worden dat jij een overtreding begaan hebt. je hoeft nooit je onschuld aan te tonen!

maar op het moment dat je er vanuit gaat dat het systeem veilig is (en dat doen banken, en rechters ook nogal eens - alhoewel niet altijd), impliceert dat dat de gebruiker zelf fout bezig is geweest.

woensdag 19 mei 2004 12:48

Acties:

Janoz

Moderator Devschuur®

!litemod

DaRealRenzel schreef op 19 mei 2004 @ 10:34:
Even als toevoeging het volgende. Alle middelen die die bank je aanbiedt om van je geld gebruik te maken zijn inherent onveilig. Op je pinpas staat wel degelijk (one-way encrypted) je pincode opgeslagen. Een pinautomaat kan aldus doordat jij je pincode intoetst deze hashen en vergelijken met wat er op je pinpas staat en zo checken of jij de goede pincode hebt ingetoetst. Daar er slechts 9.999 pincodes zijn, is het betrekkelijk eenvoudig deze has terug te berekenen, als je maar genoeg pincodes en passen hebt. De hash is namelijk altijd gelijk anders zou het hele systeem niet werken.

De hash op de pas lijkt mij gewoon een kleine hash met veel overlap. Hierdoor kun je snel een check doen of de pin niet onjuist is. Door een hash met slechts 100 mogenlijkheden te gebruiken heb je voor elke mogenlijke hash alsnog 100 bijpassende pincodes. Je komt dan met je reverse lookup table misschien wel door de eerste check heen, maar als vervolgens de uitgebreide check wordt gedaan (via de telefoonlijn bij een pinautomaat, of door de gehashde inlogcode bij telebankieren) val je alsnog door de mand.

Vergelijk het met sommige inlogscriptjes in javascript die gebruik maken van de naam van een pagina. Je kunt alleen inloggen waneer je de html pagina naam weet, en bij een foute inlog krijg je een 404 error. Om het toch ff wat vriendelijker te maken wordt hier een hash functie in gezet die, zodra de hash niet overeenkomt, forward naar een 'not authorized' pagina. Het bruteforcen van de hash levert je misschien wel een wachtwoord op die door de eerste hash test heen komt, maar dit hoeft niet perse de naam van die html pagina te zijn waardoor je alsnog een 404 kunt krijgen.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 19 mei 2004 12:52

Acties:

Verwijderd

sniklaas schreef op 19 mei 2004 @ 11:41:
ik hoor of lees niks over fortis bank online bankieren ??????

Weet er niet het fijne van, maar volgens mij maakt Fortis gebruik van PKI. Je krijgt namelijk een smartcardreader die op de PC moet worden aangesloten. De chip op de bankkaart fungeert dan als smartcard. Dit zou kunnen betekenen dat er een dubbelzijdige SSL-verbinding kan worden opgezet. Dit is heel erg veilig. Immers, de bank heeft een lijst met degene die toegang mogen hebben tot de website. Het is voor de man-in-the-middle dan onmogelijk om er tussen te zitten. Daarnaast wordt de elektronische handtekening ook op basis van PKI gerealiseerd. Dit is ook een veilige oplossing.

Alleen staat de gebruikersvriendelijkheid onder druk. Je moet namemlijk bepaalde software tbv. de smartcardreader installeren (middle-ware). Dit kan niet overal omdat je niet over voldoende rechten bezit (vb. bibliotheek, werkplek). Dit is bij challenge/response-methodieken niet nodig. Je kan deze bijna op elke locatie toepassen.

Pagina: 1

Reageer