Is dat niet met bijna ieder systeem?

ING heeft zo zijn nadelen, Rabo heeft zo zijn nadelen, ABMAMRO heeft zo zijn nadelen. Ofwel geen enkele grote bank heeft de perfecte beveiliging.

Je 2 factor authenticatie hangt af van een aantal dingen. Men moet je pin code hebben en je bank pas. Als je hebt kan je inderdaad alles.
Maar al zou de random reader gekoppeld zijn aan iemand, dan steelt men toch ook gewoon de readom reader er bij? Kost dan niet echt heel veel meer extra moeite.

En wat is het risico voor jou als klant als je gewoon direct als je pinpas gestolen is even een belletje doet naar ze?
Ik bedoel, als ze en je pinpas en pincode hebben ben je toch al het haasje.

Ik (topic starter) bedoelde natuurlijk dat je pinpas+pincode buitenshuis gestolen zou worden (in de supermarkt of iets dergelijks). Ik zelf neem mijn scanner/random reader meestal niet mee naar de supermarkt. Bij een inbraak thuis: ik heb mijn pincode niet op een briefje naast mijn pinpas.

Stel de scanner/random reader zou uniek zijn gekoppeld aan je rekeningnummer, dan moet iemand die je pinpas+pincode gerold heeft (bijvoorbeeld in de supermarkt), je adres achterhalen, en bij je inbreken om je scanner te stelen. Dat is alweer een stuk ingewikkelder en dus veiliger.

Je pincode staat versleuteld op je bankpas. Het hebben van een bankpas is dus voldoende

En dan haal je een PIN-code detector bij de Gamma. LOL

Ja, je daglimiet voor het pinnen ben je sowieso kwijt, bij elke bank. Maar mijn (topic starter's) punt is dat je je hele saldo kwijt kan raken omdat de boef kan internetbankieren met scanner+pinpas+pincode. Mijn saldo is (vooral aan het begin van de maand) flink wat hoger dan mijn daglimiet. Dus als me dit zou overkomen ben ik niet het haasje maar de gigahaas.


Het is dus nog erger dan ik dacht, ze hoeven mijn pincode niet eens af te kijken, rollen van pas is genoeg? ROFLOL.

Nee. Terug naar af, je mag niet naar de volgende ronde.

Lees maar eens een goed boek over public key infrastructures e.d., je pincode staar niet op de pas.

Een wachtwoord bij het inloggen erbij zou denk ik toch ook moeten kunnen in plaats van aan een rekening gekoppelde randomreader/ scanner. Is vermoed ik gemakkelijker te in te bouwen. Als iemand jouw pinpas heeft plus de pincode afkijkt, heeft ie het wachtwoord nog niet. Natuurlijk het wachtwoord niet op een briefje schrijven en bij de pinpas bewaren dan ;-)

Volgens mij kun je alleen inloggen met de pas die je daartoe aanwijst - als je hier bang voor bent kun je een pas aanvragen die je alleen voor internet-bankieren gebruikt.

Ik (TS) ben het helemaal met _kraai__ eens. Ik had een aan-rekening-gekoppelde scanner alleen maar genoemd als mogelijke oplossing. Een wachtwoord zou mijn probleem ook wegnemen. Blijft mijn oorspronkelijke vraag: zie ik iets over het hoofd dat de Rabobank wel ziet?

Ja, wat de banken allemaal wel zien is dat het superstrak authenticeren dat je een eigenaar van een pas+ pincode hebt geen complete oplossing is voor security problemen.
Dat is 2005 security, zeg maar.

Phishing bewijst dat, daar klopt alle security voor wat betreft het linken van de rekeninghouder aan een transactie, het is alleen geen transactie die de rekeninghouder wilde .

De bank doet/moet dus ook en vooral de transactie controleren, en niet alleen maar de persoon die 'm inlegt.
En dat is behoorlijk succesvol, heel veel phishing loopt vast op de moeilijkheid om het geld echt in handen te krijgen.

En gerolde pinpas+code wordt in heel korte tijd maximaal leeggepind, en daarna er (ook) nog mee internetbankieren om de rest van het saldo te krijgen is zelden of nooit een probleem.
Een poging daartoe, als het al niet vast loopt op de blokkering omdat de eigenaar de pas vermist meldde heeft dan goede kans om te stranden in dezelfde transactie filtering die voor phishing noodzakelijk is.

Verder willen klanten ook en vooral makkelijk bankieren, en gepersonaliseerde apparaatjes zijn dat niet.
Ik zie veel mensen op kantoor , of op vakantie internet bankieren, vaak met geleende devices (rabo, abn). Een erg gepersonaliseerde versie is daarvoor onhandig, en vereist ook een heel verlies/vervang/aanvraag proces bij de bank.

Kortom - een derde factor (pas+persoonlijk device+pin) draagt weinig bij aan banking security.

Misschien denk ik te simpel, maar waarom vraag je het ze niet? Daar hebben ze toch een klantenservice voor?

Goed punt, heb ik (topic starter) een paar jaar geleden gedaan, per e-mail. Ik werd op een zondagochtend teruggebeld door een vriendelijke mevrouw die erkende dat diefstal van pin+code een probleem zou kunnen zijn. Zij zou het aankaarten en ik zou er nog van horen. Ik dacht aanvankelijk dat de scanner het antwoord was waar ik nog steeds op wachtte, niet dus. Daarom heb ik deze discussie maar weer eens aangezwengeld.

Ik begrijp dat de banken veiligheid moeten afwegen tegen gebruiksgemak en dat veiligheid daarom soms niet optimaal kan zijn. Dat is in het echte leven ook zo: mijn ramen hebben geen tralies en ik loop niet in een kogelvrij vest.

Misschien maak ik me onterecht zorgen en zou mijn saldo onderweg "naar een katvanger in Wit Rusland" wel in het voortreffelijke phishing filter van de Rabobank blijven steken. Maar toch, ik zou me veiliger voelen als de Rabobank zelf me uit zou leggen waarom ik spoken zie. Tot dat gebeurt gebruiken wij onze Rabopas niet buitenshuis en pinnen we met onze ING-passen.

De scanner lost in ieder geval 1 probleem op: telefonische phishing.

De zogenaamde bankmedewerker die een goed van vertrouwen rekeninghouder aan de lijn heeft en vertelt "pak nu uw reader, toets uw pincode - nee niet hardop zeggen alleen intoetsen - en vervolgens deze code en vertel mij het resultaat..." wordt het nu flink lastiger gemaakt. Een goede stap voorwaarts van de bank, mijns insziens.

Ik ben het ermee eens dat pas+pincode te gevoelig, c.q. makkelijk is. Voor internetbankieren zou je OOK nog iets als een wachtwoord willen laten opgeven, iets wat je bij het pinnen niet kunt laten meekijken dus.

En mocht een argument van de Rabobank zijn dat dit "te ingewikkeld" voor een gebruiker zou zijn, laat de gebruiker dan kiezen of ze hiervan gebruik willen maken en verlaag daarmee het eigen risico of verhoog de rente op de spaarrekening o.i.d.
Ik hoop dat er iemand van de Rabobank meeleest. ;-)

Jan

Ik voorspel dat je geen formeel antwoord gaat krijgen van de security architectuur ,de gekozen afwegingen daarin of de fraude/risico cijfers op grond waarvan de keuzes gemaakt worden.

Misschien krijg je een bericht dat "het door u gevreesde scenario naar onze ervaring weinig of niet is voorgekomen en wij u verzekeren dat wij er alles aan doen om internet bankieren zo goed mogelijk te beveiligen" .
Zou dat je gerust stellen ?

De bank bereikt met een gedetailleerde uitleg vrijwel niets, vertelt daarmee ook kwaadwillenden (phishers) waar ze op letten en loopt een enorm risico op negatieve publiciteit . Ik zeg overigens niet dat jij kwaadwillend bent, maar een formeel antwoord naar 'buiten' moet je gewoon beschouwen als een publicatie die ook bekend raakt buiten de ontvanger.

De wereld zit vol met nono's, kamerleden en domme journalisten die niet willen weten dat er risico's zijn en eisen "dat alles gedaan moet worden" . Ook al zijn ze daarna ontevreden met het resultaat als ook "alles" gedaan wordt, laat staan als de klant de rekening ervoor krijgt.

Als je zelf bereid bent ongemak te nemen kun je inderdaad een stukje security toevoegen door een pas waarmee 'veel geld' toegankelijk is thuis te laten, en kleine transacties met een andere pas te doen.
Je kunt je pin veel minder rondstrooien door pin-loze transacties (chip/ contactloos) te doen. Dat beperkt je maximale verlies . Maar zelfs op een security forum als hier barst het van de mensen die uit zorg voor een radio-skimmer liever overal hun pin intikken , zo blijkt telkens als dat onderwerp opduikt.

Ik werk overigens niet bij een bank.

Tot dat gebeurt, gebruiken wij onze RABO pas niet buitenshuis en pinnen we met onze ING-passen.

Ik doe precies het zelfde, als ze je bankpasje van de Rabobank stelen; en dat kan ook B.V. bij een parkeerautomaat gebeuren, en ze hebben je pincode kunnen ze volgens mij je helen rekening leeghalen.

Ik weet niet of dat met skimmen ook kan, want ze hebben je pasnummer nodig.
Daarom zie ik liever een wachtwoord er bij om in te loggen, dit mag al een eenvoudig wachtwoord zijn.

Daarom liever twee bankpasjes.

Ik ben geen expert, dus als ik iets doms zeg vraag ik om vergeving. Maar kijk ook eens naar Triodos, die bank heeft een heel ander systeem...

Ondanks dat Triodos als bank een vrij sympathieke indruk maakt, heb ik nog niet ontdekt welk ander systeem zij hanteren. Wellicht heb je meer info of een linkje daarnaar?