Tevens is onduidelijk wat het kennisniveau van de ondervraagden is. Weten de ondervraagden uberhaupt wel welke authenticatiemethoden er op het moment bij hun bank gebruikt worden?

Wij van WC-Eend...

"Tevens is onduidelijk wat het kennisniveau van de ondervraagden is. Weten de ondervraagden uberhaupt wel welke authenticatiemethoden er op het moment bij hun bank gebruikt worden?"

Waarschijnlijk niet. Veel berichten over zwakheden in de systemen gaan over internetbankieren in andere landen, waar zwakkere authenticatie gebruikt wordt. Verder ligt de grootste zwakheid niet in de authenticatie, maar in beveiliging van de client.

D.w.z. het risico van malware, welke wijzigingen zouden kunnen maken in een betaalopdracht (nadat je je 'betrouwbaar' authenticeert - geen authenticatie probleem dus) en in zaken waar een bank niet veel aan kan doen, zoals phishing om aan iemand zijn gegevens te komen en deze te misbruiken, bijvoorbeeld via fake websites van banken.

Overigens ken ik in Nederland niemand wiens internetbankieren ooit is gehacked, en er zijn op dat gebied ook weinig of geen incidenten geweest waarbij systemen voor internetbankieren werden gekraakt.

(De postbank is trouwens een uitzondering, zij gebruiken een zwakkere vorm van authenticatie doordat zij geen random reader of een soortgelijke token gebruiken tenzij hier inmiddels verandering is aangebracht).

Ik heb liever veiliger pinnen. Met internet bankieren is niet zoveel mis. Maar pinnen slaat werkelijk alles.

Als 100% aangaf - nog wel regelmatig - online te bankieren, dan vermoed ik dat ze bij de een of andere bank gewoon 100 klanten hebben ondervraagd tijdens het bankieren. In mijn omgeving ken ik tig mensen die geen internet hebben.

>> "Overigens ken ik in Nederland niemand wiens internetbankieren ooit is gehacked"
Sterk argument hoor, misschien kruip je wel net onder een steen vandaan.
Nog steeds kom ik massa mensen tegen die lekker zitten te surfen op een administrators account.
Genoeg mogelijkheden voor malware om schade toe te brengen, ook bij internet bankieren.

En de ING heeft in alle wijsheid besloten dat systeem over te nemen.
Toch vind ik het systeem niet onveilig zolang je wachtwoord maar goed genoeg is, en de betaling wordt pas verwerkt na het invullen van de TAN code.
Inderdaad zwakker dan een random reader, maar wel handiger on the road.

Dit lijkt me een beetje dom onderzoek

Als je een willekeurig iemand vraag "Hey.. wil je veiliger [...]" zegt 98% van de mensen waarschijnlijk sowieso gewoon "Ja, waarom niet", ook al hebben ze geen idee hoe het momenteel met de veiligheid zit

Van de Postbank is bekend dat juist hun authenticatie methode "beter" is dan die van de andere banken. De Postbank oplossing is ongevoelig voor de Man in the Middle aanval, waar de andere banken, met de rekenkastjes dit risico wel lopen.
Dit is het gevolg van het tweede kanaal, SMS, dat de Postbank gebruikt.
Daarmee is deze oplossing niet alleen veilig, maar ook zeer gebruikersvriendelijk. Ik hoop dan ook van harte dat zij dit systeem niet zullen verlaten.

en Nee... ik werk niet voor de Postbank. ;-)

Geef ze dan een live-cd van linux ubuntu. Gebruiksvriendelijk voor de thuis gebruiker, en enorm veel veiliger. ;-)

Ik hoor het vaker, maar dat lijkt me een weinig pragmatische methode.

Het werkt twee weken goed, maar daarna zijn er, ook voor Ubuntu, patches uitgebracht die beveiligingslekken verhelpen. Niet alles zal dusdanig ernstig zijn dat een aanvaller op afstand de boel kan overnemen, maar het is onvoorspelbaar hoe dat zal verlopen. Dan heb je twee keuzes:
1. Je adviseert ze na het starten eerst even alle updates te laden (na een half jaar zijn er zo veel dat je daar een uur mee bezig bent);
2. Je geeft ze iedere maand een nieuwe live-cd.

Oplossing 1 wordt niet door de gebruiker geaccepteerd. De gebruiksvriendelijkheid is er dan wel vanaf.
Oplossing 2 kost een bank meer dan af en toe de schade van een aanval vergoeden en heeft dus geen gerechtvaardigde business case.

Het spijt me zeer om jullie uit een droom te helpen, maar alle banken in Nederland zijn gevoelig voor Man-in-the-Browser aanvallen ook die met TAN SMS codes, tenzij beide het rekeningnummer en bedrag in het SMS staat. Aangezien dit nog niet het geval is, alleen het bedrag staat aangegeven, is het (nog steeds) mogelijk om een Man-in-the-Browser aanval te doen.

Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.

Dank voor de link, globaal even doorgescand. Volgens mij ben ik niet degene die in een droom leeft.

In hoofdstuk 4.1 staat letterlijk dat de postbank methode de enige is die tegen een man in de middle aanval kan.
In de SMS staat "altijd" het bedrag aangegeven.
Als het bedrag hoger wordt dan een bepaald niveau (ergens boven de 1000 dacht ik) dan wordt ook de hoogste boeking plus laatste cijfers van het rekeningnummer toegevoegd.

Inhoud van een ING-SMS:

"Totaalbedrag overboekingen E 1.088, 56
Volgnummer 123
TAN-code 123456"

(Volgnummer en TAN-code zijn uiteraard fictief)

Ik meen me te herinneren dat ik ook al wel eens een nummer van een tegenrekening heb gezien, maar dat zal dan wellicht bij een overboeking groter dan die 1088 euro van hierboven zijn geweest.

Het grote probleem met zo'n SMS, hoe zinvol het ook is dat die out-of-band gestuurd wordt, is dat er (niet-representatieve steekproef in een academisch geschoolde omgeving) niet zoveel mensen zijn die ook daadwerkelijk het SMS-bericht bestuderen alvorens zij de TAN-code inkloppen.

Correct. Tegen de nonchalante gebruiker is geen kruid gewassen. Het laat niet onverlet dat de methode in principe MitM-proof is, mits we met een verantwoordelijke gebruiker te maken hebben.
Dit probleem duikt natuurlijk vaker op in de beveiligingswereld en is een halve dooddoener.

Internetbankieren is gewoon niet safe klaar. Het gaat erom wie de risico's neemt en dan kan het safe zijn voor de eindgebruiker als hij niet de risicodrager is.

Internet bankieren is nog steeds veel veiliger dan overschrijfkaarten. Gewoon een false handtekening en klaar. Honderd procent veilig zal het nooit worden en of het veiliger gemaakt dient te worden, hangt af van de risco analyse. Dat haal ik niet uit het rapport. Wat is nu de kans op MitM en wat zijn de kosten van beveiliging.
Hier lijkt nog steeds een behoefte aan zo groot mogelijke veiligheid, zonder het kostenaspect in ogenschauw te nemen.

Ik maak mij meer bezorgd over het kennis nivo bij de banken!

alles kan gekraakt worden niet alles kan even snel gekraakt worden

Zo ken ik er ook een paar.
98% van de mensen wil veiliger over straat
98% van de mensen wil een hoger salaris
98% van de mensen wil een einde aan aardbevingen
98% van de mensen wil meer zinnig nieuws op internet
98% van de missen wil wereldvrede.

als je veiliger wilt internetbankieren , kan je een aparte computer gebruiken alleen voor het internetbankieren en als je vista of lager gebruikt kan je windows steadystate gratis downloaden en instaleren . ( steadystate is er dacht ik nog niet voor 7 )
veel veiliger kan het niet naar mijn mening . gebruik dan natuurlijk wel een account met zo weinig mogelijk rechten . ( veiliger )
steadystate is te downloaden op de microsoftsite .

Jeroen .