Je hebt een klacht over de onderstaande posting:
Door Fwiffo: De ING kan zich beter aan de RFCs houden voor SRP, in plaats van zelf 'verbeteringen' te bedenken waar geen cryptograaf naar heeft gekeken. Ik ben het eens met de gedachte dat je niet aan een cryptografisch protocol moet sleutelen als je niet 100% zeker weet wat dat voor gevolgen heeft. Het SRP protocol laat echter best ruimte om met een pre-shared secret het nog veiliger te maken. Als je bijvoorbeeld PBKDF2 als hash functie gebruikt in SRP, dan kan je de toegangscode die als SMS verstuurt wordt als het aantal iteraties nemen. Zowel de ING server als de app weten dan hoeveel iteraties PBKDF2 gebruikt. Een eventuele MITM aanvaller weet dat niet, en zal dus nooit een succesvolle SRP verbinding kunnen opzetten naar de client (of de server).
Beschrijf je klacht (Optioneel):