ING Bank kiest voor biometrische USB-stick
Om de schade van verloren USB-sticks te beperken kiest de ING Bank voor een biometrische USB-stick. De 'Signature" gebruikt dual vingerafdrukherkenning, bevat geen stuurprogramma's, is wachtwoordvrij en platform onafhankelijk. Volgens Norman, de leverancier van de stick, is het onmogelijk om zonder een geldige vingerafdruk toegang tot de data te krijgen. Alle bestanden op de geheugendrager worden direct met AES 128-bits versleuteld. Toch zullen werknemers niet blij zijn als ze de Signature verliezen. De data mag dan veilig zijn, met een prijs van 649 euro voor de 4GB versie, is de stick aan de prijzige kant te noemen.
Reacties (24)
05-11-2008, 16:44 door
root
De bioslimdisk signature.... tssssssss..... ik zou geen zaken meer doen met norman na die blunder van ze met de bioslimdisk 2.0!
De basisprijs is ok, maar de meerprijs voor meer opslagcapaciteit is echt oplichterij. Een 32 gig versie hoeft echt niet meer dan 100 euro meer te kosten dan eentje van 1 gig.
De basisprijs is ok, maar de meerprijs voor meer opslagcapaciteit is echt oplichterij. Een 32 gig versie hoeft echt niet meer dan 100 euro meer te kosten dan eentje van 1 gig.
05-11-2008, 16:55 door
cryptomannetje
Ze hebben bij RiTech geleerd van hun fouten en die hebben ze met de Signature op een juiste wijze gecorrigeerd. Dat de stick daarbij duurder is geworden heeft natuurlijk alles te maken met de ontwikkelkosten die zijn gemaakt voor het verbeterde concept. Het getuigt dan ook van een kortzichtigheid die de huidige mist doet verbleken als je puur en alleen maar kijkt naar de prijzen voor het flashgeheugen. Die vormt nog maar een fractie van de aanschafprijs. De kosten zitten in de extra hardware en software voor de beveiliging in combinatie met ontwikkelkosten. Capice?
Stem-analyse+ vingerafdruk is veel veiliger :P (dit is ook niet echt veilig, maar beter dan..)
vingerafdruk is zò makkelijk te krijgen (vingerafdrukken stuur anyone?)
vingerafdruk is zò makkelijk te krijgen (vingerafdrukken stuur anyone?)
Ik hoop voor ING Bank dat ze met die enorm hoge prijs er een clausule bij hebben gekregen dat Norman/RiTech flinke schadevergoeding gaat betalen op het moment dat er wat mis blijkt te zijn. Dat staat nog naast het de sticks niet veilig geacht horen te worden zonder minimaal 2-factor authenticatie. Nu gebruiken ze 'alleen' controle van vingerafdrukken, waarvan er standaard al 5 in zitten....
Zoals root al aan geeft is men daar in het verleden niet echt goed gebleken om met een veilig ontwerp te komen. Schijnveiligheid, maar men doet tenminste moeite. Al verwacht ik inmiddels wel wat meer van bedrijven dan slechts moeite nemen beveiliging in acht te nemen.
Zoals root al aan geeft is men daar in het verleden niet echt goed gebleken om met een veilig ontwerp te komen. Schijnveiligheid, maar men doet tenminste moeite. Al verwacht ik inmiddels wel wat meer van bedrijven dan slechts moeite nemen beveiliging in acht te nemen.
05-11-2008, 17:40 door
[Account Verwijderd]
[Verwijderd]
05-11-2008, 18:52 door
Napped
ja en die usbstick word natuurlijk niet met je vingers beetgepakt dus daar zitten totaal geen vingerafdrukken op ?
Gezien de test rapporten uit het verleden hadden ze beter voor de KOBIL mIDentity kunnen kiezen.
Werkt wel op basis van een pincode, maar toch.
Werkt wel op basis van een pincode, maar toch.
Door rootDe bioslimdisk signature.... tssssssss..... ik zou geen zaken meer doen met norman na die blunder van ze met de bioslimdisk 2.0!
De basisprijs is ok, maar de meerprijs voor meer opslagcapaciteit is echt oplichterij. Een 32 gig versie hoeft echt niet meer dan 100 euro meer te kosten dan eentje van 1 gig.
De basisprijs is ok, maar de meerprijs voor meer opslagcapaciteit is echt oplichterij. Een 32 gig versie hoeft echt niet meer dan 100 euro meer te kosten dan eentje van 1 gig.
De kwaliteit van reacties gaat helaas achteruit, zo blijkt.
Om een vingerafdruk te herkennen is een zekere mate van vrije interpretatie nodig op
de ingescande afdruk. Aangezien bij deze stick de gedigitaliseerde afdruk de AES sleutel
is, is de sleutel dus geen harde code maar een soort van ``als het in de buurt komt van'' code.
Dit concept is niet zo lang geleden nog als onveilig gekenmerkt want er zijn te veel
passende sleutels.
Maar onveilig is een relatief begrip want een gevonden stick zal niet 123 gekraakt worden.
De moeite om een gevonden stick te ontsluiten moet in verhouding staan tot de waarde
van de informatie op de stick. De stick is een verbetering maar de kunst
zal zijn om gebruikers die toegang hebben tot informatie met een groot afbreukrisico te trainen
dat deze stick daarvoor niet geschikt is.
Er is geen "one size fits all" stick.
Tx,
Batman.
de ingescande afdruk. Aangezien bij deze stick de gedigitaliseerde afdruk de AES sleutel
is, is de sleutel dus geen harde code maar een soort van ``als het in de buurt komt van'' code.
Dit concept is niet zo lang geleden nog als onveilig gekenmerkt want er zijn te veel
passende sleutels.
Maar onveilig is een relatief begrip want een gevonden stick zal niet 123 gekraakt worden.
De moeite om een gevonden stick te ontsluiten moet in verhouding staan tot de waarde
van de informatie op de stick. De stick is een verbetering maar de kunst
zal zijn om gebruikers die toegang hebben tot informatie met een groot afbreukrisico te trainen
dat deze stick daarvoor niet geschikt is.
Er is geen "one size fits all" stick.
Tx,
Batman.
Leuk verhaaltje van cryptomannetje over die prijs. Alleen gaat die vlieger niet op als we in het oog houden dat marktwerking ook in een prijs meegenomen moet worden. Als die sticks echt goed zijn (en dat is het met enkel een vingerafdruk authenticatie niet te noemen) dan kan je verwachten dat het product zichzelf verkoopt en de ontwikkelkosten echt niet zo'n groot deel van de prijs zouden vormen.
06-11-2008, 09:17 door
root
>Ze hebben bij RiTech geleerd van hun fouten...
Fouten? In je folder vermelden dat je stick hardware encryptie heeft, waarna bij een test van Fox-IT blijkt dat dit er helemaal niet in zit is echt geen fout, maar oplichting. Ik heb de folder en de test hier liggen. Zien?
>Het getuigt dan ook van een kortzichtigheid die de huidige mist doet verbleken als je puur en alleen maar kijkt naar de prijzen voor het flashgeheugen.
Ook onzin, wat denk je dat er anders is aan een bioslimdisk van 1 gig en eentje van 4 gig? Precies: 1 chippie van bijna niks. Prijsverschil bij verkoop:
1 GB 389,- incl. BTW
2 GB 489,- incl. BTW
4 GB 649,- incl. BTW
Ook oplichting.
Ja, het zijn sterke uitspraken, ik weet het, maar ik zeg het niet voor niks. Ik heb namelijk al een hele strijd achter de rug met die gasten. Er komt dus ook een tikkeltje emotie bij kijken.
Fouten? In je folder vermelden dat je stick hardware encryptie heeft, waarna bij een test van Fox-IT blijkt dat dit er helemaal niet in zit is echt geen fout, maar oplichting. Ik heb de folder en de test hier liggen. Zien?
>Het getuigt dan ook van een kortzichtigheid die de huidige mist doet verbleken als je puur en alleen maar kijkt naar de prijzen voor het flashgeheugen.
Ook onzin, wat denk je dat er anders is aan een bioslimdisk van 1 gig en eentje van 4 gig? Precies: 1 chippie van bijna niks. Prijsverschil bij verkoop:
1 GB 389,- incl. BTW
2 GB 489,- incl. BTW
4 GB 649,- incl. BTW
Ook oplichting.
Ja, het zijn sterke uitspraken, ik weet het, maar ik zeg het niet voor niks. Ik heb namelijk al een hele strijd achter de rug met die gasten. Er komt dus ook een tikkeltje emotie bij kijken.
Kan iemand mij uitleggen waar dat prijsverschil in zit?
Euro 649,00 in BTW = euro 545,38 ex BTW voor een 4Gb.
Ik zag onlangs een MXI 4GB staal met bio voor euro 179,00 ex BTW.
Euro 649,00 in BTW = euro 545,38 ex BTW voor een 4Gb.
Ik zag onlangs een MXI 4GB staal met bio voor euro 179,00 ex BTW.
Beste Root,
Wees een vent en bel mij eens op. (Norman, Jan Peters)
Je vergelijkt Signature (4e generatie) met Elite (tweede en derde generatie) met elkaar.
Da's niet handig, omdat het niets met Fox te maken heeft. (welk rapport overigens discutabel is, vanwege belangenverstrengeling)
Ik leg je graag de verschillen uit, en bewijs je (naast Tweakers.net test) dat ING niet zomaar de eerste de beste beveiligingsoplossing aanschaft.
grt,
Jan
Wees een vent en bel mij eens op. (Norman, Jan Peters)
Je vergelijkt Signature (4e generatie) met Elite (tweede en derde generatie) met elkaar.
Da's niet handig, omdat het niets met Fox te maken heeft. (welk rapport overigens discutabel is, vanwege belangenverstrengeling)
Ik leg je graag de verschillen uit, en bewijs je (naast Tweakers.net test) dat ING niet zomaar de eerste de beste beveiligingsoplossing aanschaft.
grt,
Jan
Door Nappedja en die usbstick word natuurlijk niet met je vingers beetgepakt dus daar zitten totaal geen vingerafdrukken op ?
Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven.
Bovendien zou je twee afdrukken moeten spoofen om toegang te krijgen....
grt,
Jan Peters
Norman
06-11-2008, 10:33 door
Napped
Door Anoniem
Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven.
Bovendien zou je twee afdrukken moeten spoofen om toegang te krijgen....
grt,
Jan Peters
Norman
Dat stond er niet vermeld en dat maakt het wel een stuk duidelijker...Door Nappedja en die usbstick word natuurlijk niet met je vingers beetgepakt dus daar zitten totaal geen vingerafdrukken op ?
Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven.
Bovendien zou je twee afdrukken moeten spoofen om toegang te krijgen....
grt,
Jan Peters
Norman
Staat er ook nog een lock/destory data policy op bij x aantal fouten afdrukken of ?
06-11-2008, 10:54 door
root
Door AnoniemBeste Root,
Wees een vent en bel mij eens op. (Norman, Jan Peters)
Je vergelijkt Signature (4e generatie) met Elite (tweede en derde generatie) met elkaar.
Da's niet handig, omdat het niets met Fox te maken heeft. (welk rapport overigens discutabel is, vanwege belangenverstrengeling)
Ik leg je graag de verschillen uit, en bewijs je (naast Tweakers.net test) dat ING niet zomaar de eerste de beste beveiligingsoplossing aanschaft.
grt,
Jan
Wees een vent en bel mij eens op. (Norman, Jan Peters)
Je vergelijkt Signature (4e generatie) met Elite (tweede en derde generatie) met elkaar.
Da's niet handig, omdat het niets met Fox te maken heeft. (welk rapport overigens discutabel is, vanwege belangenverstrengeling)
Ik leg je graag de verschillen uit, en bewijs je (naast Tweakers.net test) dat ING niet zomaar de eerste de beste beveiligingsoplossing aanschaft.
grt,
Jan
Jan, we hebben al een hele e-mail uitwisseling gehad. Ik ga dat niet nog een keer doen, want ik weet dat het toch geen zin heeft. Ook nu weer probeer je er omheen te lullen. De verschillen interesseren me niet. Het gaat erom dat jullie mij vroeger een product hebben verkocht , waarvan de specificaties ("bevat hardware encryptie" en "niet onbeschadigd open te maken") achteraf niet waar bleken te zijn. Mijn vraag is dan: in hoeverre kloppen de specs van jullie andere producten? Sorry, maar ik zou niet met jullie in zee gaan.
En dat je hier reageert lijkt me ook niet handig.
06-11-2008, 11:00 door
root
[dubbelpost]
06-11-2008, 11:04 door
Jan Peters
Door Napped
Staat er ook nog een lock/destory data policy op bij x aantal fouten afdrukken of ?
Door Anoniem
Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven.
Bovendien zou je twee afdrukken moeten spoofen om toegang te krijgen....
grt,
Jan Peters
Norman
Dat stond er niet vermeld en dat maakt het wel een stuk duidelijker...Door Nappedja en die usbstick word natuurlijk niet met je vingers beetgepakt dus daar zitten totaal geen vingerafdrukken op ?
Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven.
Bovendien zou je twee afdrukken moeten spoofen om toegang te krijgen....
grt,
Jan Peters
Norman
Staat er ook nog een lock/destory data policy op bij x aantal fouten afdrukken of ?
Klopt, hij heeft een selfdestruct feature welke op twee manieren wordt geactiveerd.
Eén daarvan heeft te maken met unrecodnized attempts.
grt,
Jan Peters
Ben ik niet geheel met je eens.
Jan Peters maakt zichzelf hier netjes bekend en zijn kant mag toch ook belicht worden?
Verder ben ik zelf ook wel benieuwd naar het enorme prijsverschil bij een grotere opslagcapaciteit.
Natuurlijk moet er rekening gehouden worden met ontwikkelkosten, maar die zijn voor de grotere opslag nagenoeg hetzelfde.......
Jan Peters maakt zichzelf hier netjes bekend en zijn kant mag toch ook belicht worden?
Verder ben ik zelf ook wel benieuwd naar het enorme prijsverschil bij een grotere opslagcapaciteit.
Natuurlijk moet er rekening gehouden worden met ontwikkelkosten, maar die zijn voor de grotere opslag nagenoeg hetzelfde.......
@ Jan Peters :
"Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven."
Wat geen absolute garantie biedt dat de beveiliging niet wordt doorbroken, wanneer men beschikt over enig ander voorwerp waarop de benodigde vingerafdrukken wel zijn terug te vinden op basis waarvan de vingerafdruk is na te maken.
Is er sprake van multi-factor authenticatie, of kan eenieder die beschikt over de vingerafdrukken en deze na weet te maken de beveiliging doorbreken d.m.v. spoofing ?
"Klopt, hij heeft een selfdestruct feature welke op twee manieren wordt geactiveerd.
Eén daarvan heeft te maken met unrecodnized attempts."
Wat is de andere methode ? Ik neem tenminste niet aan dat dit undocumented is, en dat potentiele klanten dus wel mogen weten op welke andere wijze de usb-stick de selfdestruct feature inschakelt ?
@ Root :
"En dat je hier reageert lijkt me ook niet handig."
Wat is daar dan op tegen.... ?
"Signature is uitgerust met een rubbercoated laag waar geen afdrukken achterblijven."
Wat geen absolute garantie biedt dat de beveiliging niet wordt doorbroken, wanneer men beschikt over enig ander voorwerp waarop de benodigde vingerafdrukken wel zijn terug te vinden op basis waarvan de vingerafdruk is na te maken.
Is er sprake van multi-factor authenticatie, of kan eenieder die beschikt over de vingerafdrukken en deze na weet te maken de beveiliging doorbreken d.m.v. spoofing ?
"Klopt, hij heeft een selfdestruct feature welke op twee manieren wordt geactiveerd.
Eén daarvan heeft te maken met unrecodnized attempts."
Wat is de andere methode ? Ik neem tenminste niet aan dat dit undocumented is, en dat potentiele klanten dus wel mogen weten op welke andere wijze de usb-stick de selfdestruct feature inschakelt ?
@ Root :
"En dat je hier reageert lijkt me ook niet handig."
Wat is daar dan op tegen.... ?
06-11-2008, 15:12 door
root
>Wat is daar dan op tegen.... ?
Als bedrijf moet je gewoon heel voorzichtig zijn met in het openbaar reageren. De gevolgen zijn gewoon moeilijk in te schatten. Het is niet voor niets dat je dit vrijwel nooit ziet op forums, ze hebben hooguit een forum op hun eigen website, maar zelfs dat is schaars.
Bv. zo'n reactie als:
>Wees een vent en bel mij eens op. (Norman, Jan Peters)
is gewoon niet professioneel. Zeker niet als je weet dat deze opmerking van een "Business Development Manager" komt, van een bedrijf dat beveiligingsproducten levert aan ING.
Als bedrijf moet je gewoon heel voorzichtig zijn met in het openbaar reageren. De gevolgen zijn gewoon moeilijk in te schatten. Het is niet voor niets dat je dit vrijwel nooit ziet op forums, ze hebben hooguit een forum op hun eigen website, maar zelfs dat is schaars.
Bv. zo'n reactie als:
>Wees een vent en bel mij eens op. (Norman, Jan Peters)
is gewoon niet professioneel. Zeker niet als je weet dat deze opmerking van een "Business Development Manager" komt, van een bedrijf dat beveiligingsproducten levert aan ING.
10-11-2008, 13:44 door
cryptomannetje
Root is duidelijk gefrustreerd door de koop van de Bioslimdisk 2.0. Er is idd mee geadverteerd dat er hardware encryptie in zit en een self-destruction mechanisme bij openpeuren van de behuizing. Uit diverse onderzoeken is gebleken dat die er niet inzaten en dat is niet netjes van de fabrikant RiTech. Het is daarom altijd aan te raden dergelijke beveiligingsproducten aan te bieden aan een onafhankelijk instituut om ze te laten testen. Afhankelijk van het beschikbare budget kan je dat laten doen bij Tweakers.net of bij TNO o.i.d.
Het blijkt op m.n. Tweakersnet dat diverse producten niet zijn wat ze in 1e instantie lijken en vallen door de mand. Mijn ervaring is dat er veel kaf tussen het koren is..................
Het blijkt op m.n. Tweakersnet dat diverse producten niet zijn wat ze in 1e instantie lijken en vallen door de mand. Mijn ervaring is dat er veel kaf tussen het koren is..................
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
