Ik ben benieuwd of je dan straks eerst de kleur van je scherm moet kalibreren om het werkend te krijgen.

Ik heb een Duitse internet rekening die gebruik maakt van de generieke TAN code generator van http://www.kobil.com. Die heeft op de achterkant 5 sensoren die je ook tegen het scherm moet houden. Daar zijn het echter geen kleuren, maar helderheids wisselingen op 5 punten.

Wel een gedoe elke keer om het scherm te kalibreren naar de reader zodat de 5 velden samenvallen met de 5 lensjes. Ik neem aan dat hij die waarden in cookies opslaat, maar als je die niet toestaat, moet je dat elke keer opnieuw doen.

Klinkt goed, what you see is what you sign.

In tegenstelling tot je eigen pc's en andere apparaten kan je op zo'n ding niet zelf software installeren, en dus ook geen malware. Dat geldt voor random readers en dergelijke natuurlijk ook al. Wat daar nu nog bij Rabo het zwakke punt is is dat het tegenrekeningnummer niet in de challenge wordt opgenomen, je ondertekent alleen bedragen. Met de invoering van IBAN zijn rekening-'nummers' niet meer puur numeriek (gek dat IBAN nog op een N eindigt eigenlijk), en volstaat een calculatortje met enkel een numeriek toetsenbord niet meer als je alle transactiegegevens wilt ondertekenen.

Als de eindpunten van de communicatie, de systemen van de bank en dit apparaatje, allebei niet gecompromitteerd zijn mag het traject daartussen dat wel zijn (hoewel vertrouwelijkheid dan wel naar de maan is, en aangenomen dat het systeem qua encryptietechnieken degelijk is opgezet). Een aanvaller kan proberen de transactiegegevens te wijzigen zonder dat de klant het ziet. Als de aanvaller het plaatje dat gescand wordt niet ook aangepast heeft ziet de klant op zijn scanner de transactie zoals de bank die kent, en die is dan anders is dan hij zelf had ingevoerd. Als de aanvaller dat plaatje wel gemanipuleerd heeft ondertekent de klant de transactie zoals hij die zelf kent, maar ontvangt de bank een handtekening voor een andere transactie dan zij kennen.

Wat de aanvaller ook doet, één van de twee legitieme partijen kan zien dat er iets niet klopt. Ze moeten dus allebei opletten. De bank heeft dat geautomatiseerd, de klant moet zelf zijn positieven erbij houden.

Het blijft dus nodig dat de klant oplet. Ik hoop dat Rabo heel indringend an alle klanten overbengt dat wat je ondertekent NIET is wat er op je eigen beeldscherm staat en WEL wat er op het beeldscherm van de scanner staat, en dat dat iets wezenlijk anders is, zelfs als je gewend bent dat het toch altijd met elkaar overeenstemt. Ik vermoed dat veruit de meeste mensen dat onderscheid niet uit zichzelf zullen maken, en ook dat het voor veel mensen niet makkelijk zal zijn om scherp te blijven, omdat al die IT abracadabra voor ze is en ze zelf niet weten te bedenken waarom het nou juist de scanner is en niet hun eigen beeldscherm dat ze moeten vertrouwen.

Ik denk dat dat niet nodig moeten zijn. Als een deel van het patroon wit is en ze verder alleen primaire, sterk contrasterende kleuren gebruiken moeten de marges groot genoeg zijn om het lezen zelfcalibrerend te maken. Maar ik ben ook benieuwd hoe goed dat echt zal werken.

Waarom heb ik het gevoel dat dit helemaal mis gaat? Mag hopen dat ze internet bankieren niet nog lastigere en omslachtiger gaan maken?

Neem aan dat naast de gegenereerde kleur ook een vaste kleur staat die als kalibratie/peilwaarde geld. Op die manier kan het apparaat de gelezen waardes corrigeren zonder dat de monitor gekalibreerd is. Ben leek op dit gebied hoor, maar het lijkt mij dat dit mogelijk is. Kan me niet voorstellen dat een grote landelijke bank geld steekt in een techniek waarbij ze de klanten eerst door een monitor kalibratie heen moeten loodsen.

Ik heb in het verleden voor een andere bank gewerkt die Digipassen gebruikte (ik geloof hetzelfde model, maar dat weet ik niet zeker), die volgens de specificaties inderdaad het beeldscherm moesten kunnen lezen. Dat ging door het apparaatje voor een knipperend vlakje te houden. Toen we daarmee begonnen had iedereen nog beeldbuizen. Zoals ik het me herinner botste het knipperpatroon voor de Digipassen met de verversingsfrequentie van veel beeldschermen: daar onststond interferentie tussen, met als resultaat dat het vaker niet dan wel lukte om een challenge op die manier over te seinen. Dat zou zo overduidelijk een bron van ergernis worden dat we het klanten nooit hebben voorgezet, die lieten we van meet af aan de challenge overtypen.

Maar tegenwoordig heeft bijna iedereen een plat beeldscherm, met een aanzienlijk betere kleurweergave dan vroege platte beeldschermen hadden, en zijn smartphonecamera's prima in staat om QR-codes en dergelijke te lezen. Ik denk dat dat een volkomen andere situatie oplevert.

Dat zou je inderdaad denken. Je zou ook verwachten dat ze hun publieke documenten even op spelfouten controleren.


Tenenkrommend.

Idee is op zich goed. Risico is dat die kastjes waarschijnlijk duur en gevoelig zijn. Displays kosten batterij. En je wilt mogelijk veel informatie weergeven, dus relatief goed cq. groot display. Een dom random-reader-esque led schermpje bevordert niet echt dat mensen alles goed gaan controleren.

Maar waarom dit nu niet alvast doen via hun App? Ze hadden dacht ik zelfs al support voor het inscannen van accept-giros via de camera. De displays zijn groot/goed, mensen hebben ze al en laden ze regelmatig op. En je kunt de signeercode gewoon via de random-reader doen.

Dus:
1) Klant vult betaalopdracht in op computer
2) Computer toont QR-code met URL voor App
3) App (dat reeds geactiveerd is voor die rekening) haalt opdracht op via https bij de bank en toont deze aan de gebruiker
4) Gebruiker doet random-reader dingen vanaf App en vult resultaat in op computer

Dit zouden ze nu al kunnen aanbieden als opt-in (eventueel zelfs optioneel ernaast: "Controleer deze opdacht met je telefoon"(tm)).
Voor apparaten met hardware crypto zou je zelfs een vrijstelling kunnen doen tot X euro, dat je zonder random reader in de App de opdracht kunt bevestigen. Voor de meeste opdrachten zouden mensen in dat geval geheel geen hele random-reader-dans moeten doen, maar gewoon een simpele out-of-band bevestiging kunnen geven.

Oh wat weten we het allemaal weer goed... er staat "Dit gebeurt door het scannen van een kleurcode" en meteen
valt iedereen erover dat dit niet gaat werken en dat dit problemen gaat geven.

Nou neem maar aan dat de fabrikant van dit ding (en dat is natuurlijk niet de Rabobank) er meer van snapt dan de
gemiddelde security.nl lezer en dat ze echt wel weten hoeveel informatie per pixel ze kunnen overdragen zonder dat
er calibratieproblemen komen.

De eerste vraag die bij mij op komt is hoe dit moet gaan werken voor blinden en slechtzienden?
Er zijn tegenwoordig goede text-to-speech en text-to-braille oplossingen die het mogelijk houden voor deze categorie mensen om nog iets te kunnen met de PC. Hoe je je Rabo Scanner voor je scherm wilt houden als je je scherm niet kunt zien blijft mij een raadsel.

hehe..dacht ik ook ..als je de commentaren altijd leest van de couch deskundigen dan kan er niets goed werken.

Je kunt je boarding pass op je smartphone ook via het beeldscherm laten scannen op het vliegveld.
Deze techniek zag ik voor het eerst een paar jaar geleden op Heathrow en werkte toen prima, de techniek is alleen maar verbetert.

Ik gok als dat niet lukt.. hij ook zijn Scanner niet weet op te pakken, maar nu werkt het wel op de random reader?

Hallo Anoniem van 26-02-2014

Jouw voorstel om hier gelijk met de App/Smartphone aan de slag te gaan betreffend.....Klant-Rabo_QR code..

Ooit erbij stilgestaan dat niet iedereen zo een ding heeft of wil??

maar wel zo'n scanner? laten we lekker voor meerdere opties gaan dan kan iedereen krijgen wat hem / haar uitkomt. persoonlijk zou ik toch liever voor een appart device gaan. nu al is er malware die codes via SMS / email onderschept.

en als we de slechte zienden / blinden erbij halen, hoe doen die dat nu dan met de random reader? volgens mij werkt dat net zo min. het zou mooi zijn om alle problemen in een keer op te lossen, maar laten we niet doen alsof het er slechter op wordt.

Mensen, waarom zo'n discussie over het wel of niet werken van een kleuren QR-code. Het bewijst ligt er al gewoon. Bij de Duitse Commerzbank werken ze hier nu een jaar mee, aangezien ik klant ben en zodoende gebruiker van deze methode kan ik met stelligheid zeggen dat het gaat functioneren. En er is zelfs geen special apparaatje voor nodig, want dit werkt met een app die geautoriseerd word in samenhang met jou telefoon. Voor je kritiek levert, het is ook mogelijk zoals de Rabobank het nu gaat doen, doormiddel van speciaal apparaatje DIGIPASS. Of het veiliger is? Dat ligt vaak aan de mensen zelf. Mijn advies, je bedrag om over te schrijven verlagen en voor hogere bedragen zoals bedrijven mee te maken hebben. Een tweede handtekening door een tweede persoon met zijn eigen id.

Typisch ook dat de bank emails verstuurd naar klanten terwijl men weet dat dat voor een hoop mensen een gevoel van wantrouwen opwekt. De bank belt niet en emailt niet is hun standaard repetoire, en wat doen ze? Mailen?
Ik kreeg die mail vandaag, 10 april pas binnen maar heb hem meteen weggegooid.
Vervolgens zoek ik wel via internet naar berichten hierover et voilá hier kom ik het tegen....

Ik lees het net na het inloggen van mijn rabo rekening en ik was verbaasd dat ze dit gaan doen. 1 het is duur want er moet een nieuw apparaat komen, 2 hoeveel computerschermen hebben dezelfde lichtsterkte, dezelfde kleuren en dezelfde pixeldichtheid? Hoeveel van die apparaten mag je in huis hebben? ( ik heb een reader op mijn werk en thuis ) Ik gebruik een oude nokia en heb dus geen rabo app die ik ook never in dit leven zou willen. ( veligheid want steelt iemand je phone, heeft die ook gelijk gedeeltelijk toegang tot je rekening ) Het is een scanner en mijn ervaringen met scanners zijn niet echt best. Hoe zit het met fout correctie? ( Correctie houd ook in bredere marges en dus meer kans om een kleur profiel verkeerd te zien of aan te kunnen passen. ) Ik heb net mijn bank gemaild dat het moment dat ik die scanner krijg, het ding direct, ongeopend retour wordt gezonden. Ik wordt geacht mijn PC en gegevens veilig te houden ( mijn bankzaken gaan op een PC die alleen daarvoor aan gaat ) en dan komt men ineens op het "geniaale" idee om dit voor te dragen. Schijnveiligheid is het ook al lijkt het goed te werken bij de Duitse bank, de OV kaart werkt in Engeland ook al jaren goed, iemand wel eens stilgestaan met hoe dat ding in Nederland werkt? Hetzelfde geld dus ook voor deze scan techniek.

Ik ben hoogst benieuwd....
Ik hoop nergens last van te hebben en gewoon mijn rekeningen te kunnen betalen want allerlei lokale vestigingen gaan dicht en het zou toch lastig worden als ik voor elke scheet een kilometer of wat moet reizen....