Nieuws

Britse banken ondersteunen Apple TouchID voor bankieren

donderdag 19 februari 2015, 12:38 door Redactie, 7 reacties

Twee Britse banken laten klanten vanaf vandaag via hun vingerafdruk mobiel bankieren. RBS en NatWest lanceren namelijk een nieuwe mobiel bankieren-app die TouchID van Apple ondersteunt. Daarmee zijn de twee banken de eerste in Groot-Brittannië waar klanten zich via hun vinger kunnen identificeren.

Door het gebruik van de vingerafdruk hoeven klanten geen wachtwoord of code meer te onthouden. Steeds meer bankklanten gaan volgens de banken digitaal. Zo gebruikt bijna de helft van de 15 miljoen klanten van beide banken internetbankieren, waarbij 3 miljoen mensen de mobiele app gebruiken. Bij elkaar hebben RBS en NatWest 1,8 miljoen actieve iPhone-gebruikers, die de mobiel bankieren-app gemiddeld 40 keer per maand gebruiken. TouchID is beschikbaar voor eigenaren van een iPhone 5S, iPhone 6 en iPhone 6 Plus.

Blackphone-tablet waarschijnlijk tijdens MCW onthuld

Maker Blackshades-malware bekent schuld

Reacties (7)

19-02-2015, 13:08 door maboc

Interessant.

Een wachtwoord weet je. Lastig af te pakken.
Een vingerafdruk bezit je. Minder lastig af te pakken.

Ongetwijfeld heeft men binnen die bank hier lang en zorgvuldig over nagedacht (niet sarcastisch bedoeld), en is men tot de conclusie gekomen dat vingerafdrukken een prima alternatief zijn voor wachtwoorden.

Ik had graag bij die gesprekken gezeten om de verschillende voor en tegens te horen.

19-02-2015, 15:21 door Anoniem

Een apple gebruiken voor bankieren is gewoon dom.
Je wil niet afhankelijk zijn van de apple app arbritage voordat je eindelijk je lekke app kunt updaten.
Dat hebben we in het verleden al gezien dat dit niet werkt.
Security, security updates zijn gewoon niet mogelijk bij Apple store.

19-02-2015, 16:42 door Anoniem

Het TouchID is ook slechts een client-side hash-verificatie; dus de fingerprint zelf is niet het sleutelmateriaal; maar slechts het wachtwoord op het sleutelmateriaal. Lang niet zo veilig als een algoritmewaarbij het sleutelmateriaal echt van het wachtwoord afgeleid is. Sterker nog; het hele TouchID is hartstikke kwetsbaar voor aanvallen met gekopieerde vingerafdrukken, heel YT staat er vol mee !

Daarnaast Apple kennende, gaat dit zo weer de iCloud in om te syncen met je andere Apple devices en heb je een keiharde vendor-lockin met non OSS standaarden; fijne vendor-buyin UK banken !

19-02-2015, 19:56 door Anoniem

Die touchID is toch vooral een handigheid om in te loggen op je apple device? Maar een echt volwaardig authenticatie systeem voor apps is het toch niet?
Als je met meerdere mensen toegang hebt krijgen dus nu ook al die mensen toegang tot die apps (op m'n ipad ben ik niet de enige gebruiker).

Een pincode of wachtwoord kun je nog server-side valideren, maar zoals @1642 zegt is dit client side. Dan kun je niet op de server controleren of diegene die de telefoon in z'n handen heeft wel de eigenaar echt is... Als een jailbreak functie straks gewoon 'sure, it's me' zegt, zijn die gebruikers dan niet het haasje? Of als iemand een backup van je hele iphone in handen krijgt?

Hopelijk ondersteunen ze voor hun klanten ook nog alternatieven, ik zou het niet aandurven voorlopig.

20-02-2015, 09:46 door Dick99999 - Bijgewerkt: 20-02-2015, 09:47

Door 16:42 Anoniem: Het TouchID is ook slechts een client-side hash-verificatie; dus de fingerprint zelf is niet het sleutelmateriaal; maar slechts het wachtwoord op het sleutelmateriaal. Lang niet zo veilig als een algoritmewaarbij het sleutelmateriaal echt van het wachtwoord afgeleid is.
[...............]

Waarom is dat zo? Ik zou juist zeggen dat als de sleutel wordt beschermd (encrypted) met mijn wachtwoord, de echte sleutel veel meer random en langer kan zijn, zoals bij TrueCrypt. Een aanval op de sleutel heeft dan geen zin. Dus moet het wachtwoord (vinger afdruk) worden aangevallen. Of is het bij een client-server systeem anders?

22-02-2015, 23:04 door Anoniem

Volgens mij mis je een factor aan de server kant als je dit doet.

Met pincode heb je toestel (iets dat je hebt) + pincode (iets dat je weet)
Beide lijken mij naar de server te worden gestuurd, dus die kan dan beide controleren.

Met touchid weet je toestel alles, maar heb je alleen nog iets nodig om je toestel wijs te maken dat je erbij mag.
Server weet dan alleen dat het toestel het allemaal prima vond (clientside controle).

Dus ondanks dat het veiliger lijkt, is dat het volgens mij helemaal niet. Gebruikersvriendelijk lijkt het me wel.

14-03-2015, 16:38 door Anoniem

En toen was er https://twitter.com/domchell/status/575607387870093312/photo/1: brute force mogelijkheid op de pincode van het toestel. Dan voegt een vingerafdruk ineens niets meer toe, die voeg je gewoon toe aan het systeem.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer