Nieuws

Banken verspillen miljoenen aan twee-factor authenticatie

dinsdag 15 maart 2005, 12:23 door Redactie, 7 reacties

Banken geven miljoenen euro's uit aan het implementeren van twee-factor authenticatie voor hun klanten, maar de aanpak biedt niet langer adequate bescherming tegen fraude of identiteitsdiefstal, zo laat security goeroe Bruce Schneier weten. "Twee-factor authenticatie is tientallen jaren geleden uitgevonden en moest bescherming bieden tegen de dreigingen van die tijd. Nu zijn de dreigingen veranderd, en biedt twee-factor authenticatie hier geen verdediging tegen. Het is een verspilling van geld." aldus Schneier in zijn maandelijkse nieuwsbrief CRYPTO-GRAM.

Twee-factor authenticatie tokens bestaan al bijna 20 jaar, maar krijgen via banken en AOL nu pas de aandacht van de markt. Wachtwoorden alleen zijn, zoals iedereen onderhand weet, niet meer voldoende. De oplossing is het genereren van codes via hardware tokens, die elke keer een andere code geven, en zo bescherming bieden tegen afluisteren en het offline raden van wachtwoorden. Althans, dat zou je denken. Volgens Schneier biedt deze techniek geen bescherming tegen moderne aanvallen zoals man-in-the-middle aanvallen en Trojaanse paarden.

Meer informatie over dit onderwerp en andere security gerelateerde onderwerpen, zoals het gebroken SHA-1 algoritme, de Unicode URL Hack en de datadiefstal bij ChoicePoint zijn te vinden in deze editie van CRYPTO-GRAM.

Desktop anti-spyware faalt in voorkomen spyware

IT-managers steken kop liever in het zand

Reacties (7)

15-03-2005, 13:07 door Dr.NO

Volgens Schneier biedt deze techniek geen bescherming
tegen moderne aanvallen zoals man-in-the-middle aanvallen en
Trojaanse paarden.

nee, maar het beschermt wel tegen phising aanvallen
en keyloggers, en daarom is het geen verspilling.

15-03-2005, 13:52 door Anoniem

- Man-in-the-Middle Attack. An attacker puts up a fake bank
website and entices user to that website. User types in his
password, and the attacker in turn uses it to access the
bank's real website. Done right, the user will never realize
that he isn't at the bank's website. Then the attacker
either disconnects the user and makes any fraudulent
transactions he wants, or passes along the user's banking
transactions while making his own transactions at the same time.

Ik ken een andere (technische) definitie van een man in the
middle attack.
Ik vind bovenstaande meer op phising lijken.

De gegeven oplossing lees ik meer als een e.dentifier die
een uniek sessienummer genereert. In Nederlands niets
nieuws, in tegenstelling tot de VS overigens.

15-03-2005, 14:23 door Dr.NO

bij een man-in-the-middle attack zorg je dat je tussen de
echte site en de klant zit, en alle data doorstuurd naar de
klant (evt met een paar wijzigingen), zodat je de klant de
extra (tijdelijke) passwords laat invullen. uiteraard stuur
je dan ook gewijzigde info naar de bank toe (ander bedrag,
ander rekeningnr).

bij phising wordt je login/pw gejat, maar kom je niet
(direct of indirect) op de echte site terecht.

15-03-2005, 15:35 door Arno Dorst

Het wordt nooit helemaal veilig ( 99%). Er blijft altijd (100%) kans dat
iemand de beveiliging weet te breken.

15-03-2005, 23:54 door Anoniem

ja ja, als een klant aanlogd op een fake site.
Dit is dus al weer enkele jaren bij de banken,en als het goed is bij de
klanten bekend.
De banken hier in Nederland waarschuwen hiervoor op hun login site met
een melding dat de klant dient te verifieren dat de url moet zijn;HTTPS;//etc.
Het is dus aan de klant om dit te controleren, dit doet bijna niemand maar
toch.
De bank is het dus niet aan te rekenen als er iets fout gaat.
En ja security is nooit 100% gewaarborgd, maar de 2way authenticatie
dmv een token is, als men het bovenstaande inacht neemt zeer veilig.
Papieren betaalopdrachten werden vroeger ook wel eens onderschept en
aangepast, zo is er altijd wel iets te verzinnen.

15-03-2005, 23:55 door Anoniem

mee eens, zelfs Bruce valt blijkbaar bij gebrek aan nieuw materiaal in
herhalingen

16-03-2005, 11:55 door Anoniem

'de bank is dus niet aan te rekenen als er iets fout gaat' ??

Hoeveel kosten besparen de banken door de gebruikers
internet bankieren 'door hun strot te duwen'? Zouden ze dan
ook niet verantwoordelijk gesteld moeten worden voor de
fraude die daarmee gepaard gaat?

2-factor authenticatie is inderdaad niet voldoende, zoals ik
al eerder geschreven had moet er vooral ook een signing zijn
van de transacties (bedrag en bestemming) door een device
buiten de computer om (postbank?). Dat is de enige methode
om man-in-the-middle en spyware achtige zaken tegen te
houden. Dan kunnen natuurlijk nog altijd je persoonlijke
gegevens (rekeningstand, overschrijvingen, ...) door
man-in-the-middle of spyware gestolen worden, maar ben je
ten minste je geld niet kwijt..

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer