het lijkt voor mij op een kwestie van wachten op een ontwikkelaar die aankomt met een een iframe dat bovenop het plaatje op het scherm wordt gezet waar een oneigenlijke transactie in paars met witte stippen wordt aangeboden die hij netjes aan je toont om te bevestigen.

en je kunt wel dual factor doen met goedkopere yubikeys bijvoorbeeld, alleen gaat het juist om de scope en infectieratio van banking trojans en de kans dat gebruikers de interface vertrouwen om een TAN'code in te voeren. hoe doe je dan verstandig risicomanagement?

misschien is het tijd voor NAP in de vorm van een client die wat checks uitvoert en SSL-VPN opzet met een eigen browser(plugin).

Ja, dit gaat duidelijk over de politiek en een imagoprobleem.
Daarnaast is Cronto is een engels bedrijf.

On topic....right...


Ik vraag me af of het wel zo gebruikersvriendelijk is als het filmpje op
de Cronto website laat zien.
Een foto van je beeldscherm maken met je smartphone of speciaal apparaat.
Ligt de zwakke plek dan niet in je smartphone ?

De zwakke plek ligt in de combinatie van je browser en je smartphone. Ze moeten allebei tegelijkertijd besmet zijn en allebei realtime met de aanvaller kunnen communiceren om jou geld te laten overboeken naar een rekening van de aanvaller, zonder het te merken. De kans dat dat gebeurt is een heel stuk kleiner dan alleen maar een besmette PC.

Niets nieuws onder de zon.Gebruik iets dergelijks al 'n hele tijd in Duitsland.
Kijk hier maar eens:
http://www.youtube.com/watch?v=GOQeZGe83YM

P.S.

Het werkt trouwens uitstekend ,al is het even wennen om met zo'n tangenerator "aan" je beeldscherm te hangen,maar het lukt wel aardig als je eenmaal weet hoe het precies werkt.
Bovendien kun je altijd nog handmatig je tan genereren net als in Nederland.
Dan is het alleen wat minder veilig,dus de Nederlandse standaard zeg maar.

Dus als ik het goed begrijp hebben ze de TAN-code of invoercode voor de Random Reader vervangen door een slechte versie van een QR code (QR kan tot1852 tekens in een code kwijt en zijn honderden libraries voor beschikbaar).

Hoe bevestigt dit apparaat dat ik ben wie ik zeg dat ik ben?
Bij Rabobank is dat doormiddel van je kaart en pincode te gebruiken op de random reader en daar een uitvoercode te genereren.

Dan heb je en de juiste kaart nodig en het pincode.

Staat of valt dit hele systeem niet met de geheimhouding van de coderingstechniek van de 2D barcode en is dit niet gewoon security through obscurity?

Zodra kwaadwillenden op de hoogte zijn van de codering kunnen ze immers via exact dezelfde man-in-the-browser-aanvallen gefingeerde informatie aan de gebruiker tonen en hem zo opnieuw ervan overtuigen dat hij een heel andere transactie doet dan er in werkelijkheid op de achtergrond plaatsvindt.

Het apparaat is persoonlijk, wat op je kaart staat kan ook in zo'n ding geprogrammeerd worden. Maar als je geen pincode in moet typen bewijst dat inderdaad onvoldoende wie je bent, het bewijst alleen dat je toegang tot het apparaat hebt.

Naast persoonlijke bankpassen ook gepersonificeerde apparaten moeten leveren maakt het beheer voor de bank complexer. Kennelijk hebben ze dat over voor het elimineren van zelfs zo'n simpele handeling als een bankpas in een gleufje steken. Vroeger moest je de deur uit om een overboeking in de brievenbus te deponeren. Dingen makkelijk maken voor de gebruiker slaat door tot in het absurde als je een makkelijke handeling gaat elimineren die twee seconden duurt en die je maar af en toe doet, en dat lijkt hier te gebeuren.
Ik vroeg me ook al af waarom ze dat niet gebruiken. Ze wekken de indruk dat de codering een beveiliging inhoudt. Dat lijkt me onzin. HTTPS is al gecodeerd, het gaat er hier niet om dat een aanvaller de challenge niet kan zien, het gaat erom dat hij niet de juiste response kan produceren. En zonder die pincode is nou juist dat niet goed afgedekt.

Het zit er dik in dat de betrokken smartphone en pc regelmatig aan elkaar gekoppeld worden, en aangezien malware met de dag geavanceerder wordt is het slechts een kwestie van tijd, en vermoedelijk maar heel weinig tijd in verhouding tot de gebruiksduur van dit soort technologie, voor dit misgaat. Een gespecialiseerd apparaat dat niet door malware geïnfecteerd kan worden bij normaal gebruik is een stuk veiliger.

De eigen barcode oogt vrolijk en aantrekkelijk, ze suggereren dat het veiligheid oplevert die helemaal niet van een propriétaire barcode afhankelijk is voor zover ik weet te beredeneren, en het apparaatje ziet er gelikt en vooral makkelijk uit, en ze leveren een app voor apparaten waarvan je niet kan garanderen dat ze betrouwbaar genoeg zijn. Alles is gericht op de zaak zo aantrekkelijk en gemakkelijk mogelijk maken, en ze zijn te veel bereid concessies aan de veiligheid te doen daarvoor. Ze hebben er patent op aangevraagd zodat er goed aan te verdienen valt als het aanslaat. Ik krijg daardoor het idee dat de verkoopbaarheid en winstverwachting belangrijker zijn dan de eigenlijke functie van het product. Jammer, ze zijn zo bezig er een slaatje uit te slaan dat ze niet de toegevoegde waarde creëren (daar ging marktwerking toch over?) die ze met hetzelfde gemak gecreëerd hadden kunnen hebben. Zo komt het op mij over.

De sterke punten die het wel heeft is dat álle transactiegegevens onderdeel van de challenge gemaakt kunnen worden, en dat je ze daarvoor niet allemaal over hoeft te typen (dat vind ik géén overbodige luxe als je zoveel meeneemt). Combineer dit niet met een app maar alleen met een gespecialiseerd apparaat waar je een bankpas insteekt, vraag de pincode van de bankpas, en gebruik liever een standaard QR-code dan de valse suggestie dat de barcodering bijdraagt aan de beveiliging, en je hebt iets waardevols.

Ik zie dit als gelikt ogend half werk.

ABN e-dentifier 2 (connected mode) lijkt mij toch wat veiliger gezien de pas en pincode.

Heeft iemand al wel eens naar een implementatie van deze oplossing gekeken en daadwerkelijk geconstateerd of dit inderdaad een veilige oplossing is of niet?

Zorgen zoals beschreven hierboven deel ik ook (zoals veiligheid van smartphone bij gebruik van de app-optie). Ik heb het zien werken en het ziet er voor de gebruiker/ klant wel heel gebruiksvriendelijk en efficient uit.