Ben wel erg benieuwd naar wat voor software die mensen
gebruik(t)en. En of het in Nederland ook zo gesteld is met
de veiligheid van de banken.

De betreffende bank maakt dan ongetwijfeld geen gebruik van een Secure
ID card oid.

In Nederland kan je met een gestolen wachtwoord niets bij
een online bankier, je hebt altijd ook nog een variabele
component die iedere keer anders is.

Bovendien, welke idioot gaat z'n online bankzaken via een
cybercafe doen. Dan vraag je er gewoon om!

Er zijn goede programma's op het internet verkrijgbaar om keyloggers te
detecteren (waaronder Norton Internet Security 2005). Ook via de website
van SpyChecker is een goed cryptografisch programma te downloaden.

http://www.spychecker.com/

Enne...Timbo...kom in het vervolg met argumenten aan en niet meer met zinloos geklets over "domme" mensen, want dat is hier al passé composé...

Dom Dom Dom, en nu denkt morgen heel nederland weer dat
online bankieren in nederland zeer gevaarlijk is door de
-ALWEER- misleidende titel van dit stukje nieuws.. *zucht*

Op zondag 06 maart 2005 11:50 schreef NielsT onder meer:
> Het blijft link, wachtwoorden of andere vertrouwde
> gegevens invullen op een PC die niet van jezelf is

Ik vermoed dat voor veel Nederlanders geldt dat de PC in hun
huiskamer niet meer van henzelf is (zonder dat ze dat zelf
doorhebben).

Alleen indien authenticatie en transacties bevestigd worden
door een extern en -niet vanuit de PC- manipuleerbaar
device, waarbij de PC hooguit als doorgiftestation van
degelijk versleutelde (c.q. in het device gesigneerde) data
dienst doet, is PC bankieren niet onverstandig.

Waarbij hopelijk geen MD5 gebruikt wordt, dat nog steeds
niet helemaal gebroken is maar dat moment komt dichterbij.
Heren aangesloten bij de TU Eindhoven laten zien hoe je twee
verschillende X.509 certificaten met identieke hash kunt
genereren: http://eprint.iacr.org/2005/067p
Bron (Duitstalig):
http://www.heise.de/security/news/meldung/57038.
De vraag is wanneer SHA1 hetzelfde lot beschoren zal zijn.

Erik

Ik werk nu al sinds 1987 met internetbankbetaalprogramma's
(wat een woord). BBL in die jaren had mijlen voorsprong op
alle concurrenten, zij hebben voorbeeldig aan veiligheid
gewerkt en geploegd en ook de consument daarvan ingelicht.
BBL is overgekocht door ING en ik ben niet meer onder de indruk.
Rabobank heeft 7-mijlslaarzen ingekocht en laat de consument
op veilige wijze betalen. Zij is echter niet geïnteresseerd
in bijv Firefox en communiceert niet met haar klanten over
veiligheid.
Het zou nochtans niet moeilijk zijn op de bankportals de
nodige tips&trics&links op te nemen, en dan niet een
dooddoenertje van "draai maar AdAware en je bent er", nee,
een ernstige pagina met wát en hóe.
En even verder denken: alle favoriete en populaire portals
zouden zoiets moeten aanbieden. En om nog verder te gaan: er
is ergens toch een minister verantwoordelijk voor
telecommunicatie: buiten het bestellen van mercedesjes en
het in de billen knijpen van secretaresses moet er toch een
budgetje zijn om een portal te maken voor jan-met-de-pet...?
Of moet security.nl die portal zijn?
capricornus

1. Hoeveel Nederlandse banken hebben de afgelopen jaren met hun
internetbankieren problemen gehad waar zij zelf debet aan hadden?
Volgens mij geen (ABN Amro betrof Homenet) en Phising bij Postbank had
niets met de Postbank applicatie te maken. Waarom gebruikers lastig
vallen met tips en tricks. Zorg dat het technisch dusdanig goed zit dat dit
niet nodig is door time based wachtwoorden te gebruiken, server side
input validatie op de invoervelden, enz. De meeste gebruikers willen
helemaal geen tips en tricks, maar gewoon bankieren.

2. Waarom nu weer een minster verantwoordelijk stellen? De fysieke
beveiliging van bijvoorbeeld het Rabobank pand is toch ook een Rabo
aangelegenheid en niet die van een minister. Als een bank zijn zaken niet
op orde blijkt te hebben, verliest het klanten aan de concurrent waardoor
het bedrijf wel moet verbeteren wat uiteindelijk alleen meer betere
producten overlevert (in dit geval online bankieren). Dit werkt beter dan er
weer een log overheidsorgaan op te zetten. Daarbij zijn er al initiatieven
zoals thuiswinkel.org en surfopsafe.nl.

Over mijn eigen bankzaken: de bank heeft een elektronische
en variabele wachtwoord instelling. Bij elke inlog is de
inlogcode en de eigen inlogcode anders. Of keyloggers dan
nog zin hebben lijkt te verwaarlozen aangezien het opslaan
van de codes door een keylogger dan zinloos is.

Wil men toch voorkomen dat keyloggers op de PC komen, dan is
SpyWare Blaster of een cryptografisch toetsenbord ook een
goed alternatief.

Het zal echt niet lang meer duren voordat het logaritme in een e-
dentifier van ABN of wat voor nederlandse bank dan ook gekraakt is.

Een simpele diefstal van een E-dentifier is eigenlijk al genoeg. Een
pinpas is snel genoeg te maken met een opzetstukje bij de
flappentap compleet met camera om het intoetsen van de pincode
gade te slaan.

Daarna is het kinderspel en is het simpelweg bekende codes
intoetsen en reageren op de responscodes.

Hoezo veilig?

Dream on en waan je veilig met je software- en hardware oplossingen.
Het zal niet lang meer duren en de balies bij de banken worden weer
in ere hersteld.

Het is inderdaad zo dat je een kopie van een pinpas kunt
maken met een opzetstukje (skimming) maar daar kan je
helemaal nix mee als het om telebankieren gaat. Hierbij
wordt geen gebruik gemaakt van de magneetstrip, maar van de
smartcard. Knappe jongen die dat weet te kopiëren, kom dan
nog maar eens terug. Wat een onzin.

In zoverre dat de Rabobank een bankvergunning van De
Nederlandsche Bank krijgt, en die is weer staatseigendom en
volledig verantwoordelijk indien de Rabobank onverwacht op
de fles dreigt te gaan.

Zo gek is die gedachte dus nog niet.

De Nederlandsche Bank houdt inderdaad toezicht op alle in Nederland
opererende banken. En DNB stelt strenge eisen, vandaar dat in Nederland
internetbankieren ook zo veilig is (met offline tokens zoals bij Rabo en ABN
of one time passwords (evt. via SMS) zoals bij Postbank.

En de overheid neemt haar verantwoordelijkheid al jaren met de
voorlichtingswebsite http://www.surfopsafe.nl . Het jammere is dat deze site
slecht bekend is, onder meer omdat er niet 1 verantwoordelijk ministerie is
voor ICT, maar ieder ministerie voor zich daarmee bezig is (Binnenlandse
Zaken voor overheid-burger communicatie via internet, Economische
Zaken voor communicatie tussen bedrijven via internet, Volksgezondheid
voor het digitale patientendossier etc. etc.). Een minister die echt ICT /
Security in zijn portefeuille zou hebben zou dus niet slecht zijn, maar kan
alleen als andere ministeries een stukje verantwoordelijkheid zouden
overdragen, dus zal voorlopig wel niet gebeuren...

Het installeren van een keylogger is geen hack. Het betreft
dus geen hacker.

Hartelijk bedankt voor deze zeer waardevolle toevoeging aan
deze discussie.

Volgens onderstaand artikel (Nieuws: Banken verspillen miljoenen aan
twee-factor authenticatie - http://www.sif.nl/?
page=9&catid=6&object=147647) en het hierin gerefereerde artikel van
Schneier (http://www.schneier.com/crypto-gram-0503.html#2) zal toename
van fraude met banktransacties niet lang meer op zich laten wachten.
Hier wordt betoogd, dat two-factor authenticatie prima werkt in corporate
networks en local logins, maar niet bij authenticatie over internet, vanwege
het gevaar van trojan horses en Man-in-the-Middle Attack. Zijn dit serieuze
bedreigingen?