Er is een update: https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html#/?s=0/:S0

Versie 3.10 om precies te zijn.

Muria, zelfs zonder de software voor de edentifier kun je internetbankieren. Als je de software gebruikt icm een USB-kabel, hoef je geen codes in te tikken voor authorisatie, en zie je de transacties in het scherm van de edentifier. Zonder software moet je codes overtikken en kun je niet de transacties zien op de edentifier.

Ik had 'm net ook. Heb het proces door laten gaan.
Je komt niet bij een inlog van de bank ... het gaat gewoon door.
Sterker nog... op een gegeven moment waarschuwt AVG voor een virus tijdens de installatie.
Nu is AVG bij vlagen heiliger dan de paus dus ook DAT heb ik door laten gaan.
Hopen dat het gewoon herkent dat er encryptie algoritmen gebruikt worden, lijkt me logisch bij bankzaken.

AVG waarschuwt voor dit virus:
"IDP.ALEXA.51, C:\CONFIG.MSI\3C94CD4.RBF";"Toegevoegd aan de uitsluitingslijst";"6-7-2016, 11:18:27";"Bestand of map";""

En linkt daarvoor naar de volgende virus definitie:
http://www.avgthreatlabs.com/nl-nl/virus-and-malware-information/pu/free/?utm_source=TDPU&utm_medium=IDP&CTRY=nl&LNG=nl&PRTYPE=AVF&V=2016&AI=0&BE=21198635&IDNT=SURQLkFMRVhBLjUx&IDN=QzpcQ09ORklHLk1TSVwzQzk0Q0Q0LlJCRg

Groet,
JW

ABN Amro gesproken: er is inderdaad een update uitgerold vandaag.
@Muria: het betreft een SW update van de paslezer zelf. Men heeft geen losse software nodig om te internetbankieren.

Nogmaals JW

Bij ABN AMRO kun je inloggen op basis van rekeningnummer + pasnummer + 5 cijferige inlogcode. Dan krijg je beperkte functionaliteit, net als bij hun mobiele apps. Of je kunt je inloggen met een e.dentifier of e.dentifier 2. Dit zijn apparaatjes waar je de bankpas in moet stoppen en waar je de pincode op moet ingeven. Dat is veiliger en je hebt dan toegang tot alle functies.

Het gaat om de e.dentifier2. Dit is een apparaatje dat je vrijwillig kunt aansluiten via USB op een Windows of Mac computer. Doe je dat niet, dan moet je nummers overtypen van je scherm op de e.dentifier2 en andersom. Sluit je hem aan via USB, dan gaat dit sneller want dan wordt de informatie geautomatiseerd uitgewisseld.

Je moet de e.dentifier2 software installeren op je computer en dat heeft de poster dan ooit ongetwijfeld gedaan. Daardoor kan de updatemelding nu ook verschijnen zonder ingelogd te zijn op de website. Maar ik heb vandaag ook de update geïnstalleerd. Hij lijkt legitiem, maar de user experience is alles behalve professioneel. Ook zie ik nergens een changelog.

Nee hoor, dit is puur de driver voor de e.dentifier (Kaartlezer van ABN). Het systeem zelf werkt ideaal - kaartlezer via USB aangesloten op computer, bankpas erin en het apparaat zorgt ervoor dat je geen bevestigingscodes of wat dan ook moet opgeven. Kan ook losgekoppeld van het systeem, maar dan moet je voortdurend een bevestigingscode opgeven.

Voor wat betreft de waarschuwing - gewoon controleren of je inderdaad op https://www.abnamro.nl zit, certificaatje checken, et cetera.

Zelf merk ik de laatste tijd vaak dat ik een foutmelding krijg wanneer ik een betaling doe ("Onjuiste cookies" oid), hopelijk is deze update om dit probleem te verhelpen.

Het gaat mogelijkerwijs om een update van de driver voor de e.dentifier 2, die met een USB kabeltje aan een PC gehangen kan worden.Maar om te kunnen telebankieren bij ABN AMRO is dat niet nodig. Zie https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html. Uiteraard hoef je hier helemaal niet voor ingelogd te zijn op de website van de bank.

Heb je toevallig het USB token altijd aan je PC hangen?
Stel jezelf dan ook de vraag: waarom zou je dat doen.

Je kan de e-dentifier zowel los als verbonden gebruiken. Dat laatste vind ik makkelijker, omdat je dan niets meer hoeft in te typen, alleen de pincode. Op het scherm staat dan precies waarvoor je toestemming geeft.

Om met de e-dentifier2 te kunnen internetbankieren door middel van de USB aansluiting moet je wel degelijk de software daarvoor op de PC zetten. Het gemak van deze manier van bankieren, is dat je bij elke transactie maar één keer de pincode hoeft in te toetsen. (zie ook Anoniem 14:06) Echter het gaat hier om de wijze waarop de bank meent dat een software update aan de gebruiker meent te mogen aanbieden. De gebruiker surft op het internet, en sluit de browser af, en daar staat plotseling een popup met de mededeling, dat er een software update is voor de e-dentifier2.
Vanmorgen de bank gevraagd om een verduidelijking, maar die is nog niet binnen.
Ik neem aan, dat als ik als gebruiker de "ja" optie aanklikt, ik met het inlogscherm van de bank wordt verbonden, want anders is het wel heel erg vragen om moeilijkheden. Daarbij kan ik mij niet herinneren dat deze manier van updaten ooit eerder op deze manier is aangeboren.

Dat het om de e.dentifier software gaat, stond al in het eerste bericht. (-:

Maar ook bij was er vandaag deze update melding. Gek genoeg op de Mac die ik zelden voor bankzaken gebruik en niet op de mac waarmee dagelijks met bankzaken gewerkt wordt. Maar die melding zal binnenkort wel komen.

Ik ben benieuwd of ze er een bug uit gehaald hebben. De laatste jaren had ik een paar keer per jaar dat de e.dentifier 2 niet herkend werd. Dat was dan niet meer op te lossen, zelfs niet met het helemaal uitloggen uit je Mac-account. De enige oplossing was het rebooten van de Mac. Ik heb hier een melding van gemaakt, maar voor hun was het probleem nieuw. Bij mij trad het echter bij meerdere Macs en bij meerdere versies van het OS op.

Sinds een maand treed dit probleem bijna dagelijks op. Ik ben benieuwd of dit nu opgelost is.

Ik gebruik deze software al jaren en heb het al heel vaak ge-update. Maar dit is nu de eerste keer dat hij zelf een melding geeft. Meestal moest er geupdate worden na een OS update waardoor de oude software plots niet meer werkte.

In elk geval staat er na installatie een nieuwe alias in de internet-plugin folder, die naar een file wijst met datum 24 Oktober 2012. Dus de plug-in zelf is niet veranderd maar iets anders wat elders aan het systeem toegevoegd wordt.

ABNAMRO? wat was daar ook alweer mee? Iets met vertrouwen?

Vereist het installeren niet ook vertrouwen in de aanbieder ervan?
Hoe zat het ook alweer?
Even opfrissen.


ABNAMRO overzicht : in herhaling en samenvatting van wat hier al jaren besproken wordt


[ X ] Nieuw : HTML5 Canvastracking ?

Cookies kan je wissen.
Een berekende html canvas sha is vrij persistent te herkennen en vergt veel meer voeten in aarde om dat zelf veranderd te krijgen. Ga je niet doen en ondertussen werkt het jou tracken over het internet op basis van deze techniek feilloos voor iedereen die de betreffende sha hash in zijn bezit heeft.

Is dat canvas tracken erg?

- Nee zou je denken want het is fijn als de bank zeker weet dat jij het bent.

- Ja, toch wel want kennis kan je delen met je partner(s)
En partner(s) zijn er.
Zo weigert deze bank al jaren te stoppen met tracking van partner Adobe Omniture 207 .
Sterker nog, nadat dit stiekeme en verplicht toestaan van tracking jaren en jaren geleden werd ontdekt en een publiek punt van discussie heeft men de code niet verwijderd maar dieper verstopt.
https://www.security.nl/posting/27748/

Men won er uiteindelijk zelfs nog een nominatie mee van Bits of Freedom.
Inmiddels weet iedereen dat je op hun site getracked wordt, ook als je bent ingelogd, en zijn we eraan gewend dat kritiek genegeerd wordt en dus maken we er geen punt meer van?

Nou, vooruit, wat is er zoal te vinden.


[ X ] Omniture tracking via diverse javascripts en extra verbindingen naar Adobe Omniture

Zonder het toestaan van bepaalde tracking javascripts is het niet mogelijk om te internetbankieren.
Omniture tracking is actief binnen de internetbankier omgeving.

Omniture privacy voorwaarden vallen niet binnen de privacyvoorwaarden van ABNAMRO.
ABNAMRO verplicht wel het accepteren van Omniture code tijdens internetbankieren maar voelt zich niet verantwoordelijk voor de code die zij verplicht, daarvoor verwijst zij naar een ander bedrijf in een ander land.

Wel de lusten en dus niet de lasten voor deze tracking bank.

Verbindingen met

Trackingcode

Good old Google natuurlijk

En waarom ook niet nog Usabilla erbij
Al valt dit hier dan onder first party script


[ X ] Spookverbindingen over andere poorten tijdens het internetbankieren

In een beveiligde internetomgeving zou je verwachten dat de communicatie met je bank alleen over poort 443 verloopt.

Dat is niet zo.
Bij het internetbankieren communiceert je browser ook over de poorten 9041, 9042, 9043.
Met je localhost 127.0.0.1, dat wel, maar waarom en wat gebeurt er dan?



[ X ] Mysterieuze Beacon(s)

Dan hebben we nog het mysterieuze Beacon loopback domein.

Beacons worden ook gebruikt voor tracking, o.a. door Omniture, maar wat ABN hiermee doet?


[ X ] Toch nog een ander extern domein gevonden dat hier nog niet eerder is besproken, Cloudfront

Ach het is maar 1 plaatje

Feedback?
Bij deze gedaan, al weten we allemaal dat er uiteindelijk niets mee gebeurt.
Weet je nog een paar maanden geleden de jongen die even Twitter aandacht kreeg omdat hij de al jaren doorwoekerende trackingbusiness van deze bank weer eens aankaartte?
https://www.security.nl/posting/449911/ABN+Amro:+Omniture-tracker+nodig+voor+internetbankieren

https://twitter.com/bensmeets/status/661840573058392064
7 maanden geleden
Ondanks de belofte hiermee te stoppen en erop terug te komen niets meer van gehoord.

Welke belofte?
Deze: ABN Amro gaat internetbankieren zonder tracking-cookies
https://www.security.nl/posting/365648/ABN+Amro+gaat+internetbankieren+zonder+tracking-cookies

Dè bank?
De bank van het stug negeren van klantvragen en opmerkingen van klanten.


[ X ] Klantrelatie opbouwen en behouden op basis van vertrouwen?

Dat is toch een gouden regel?
Klanten behouden en werven door vertrouwen niet te beschamen?
Geld zeker niet meer als je groot genoeg bent en zelfs de overheid je niets meer kan maken.
Werkelijk piesen van de lach met een jurk op het toneel.


[ X ] Hamvraag : Extra Bank software installeren?


Hoe beoordeel je dat dan?
Ik vind het best opmerkelijk dat een bank met de dergelijk anti privacy track record en publieke gedragingen je vraagt op je lokale systeem ook nog eens extra software te installeren en dat dan ook maar volledig te vertrouwen.
Je weet immers niet wat deze software doet, er werd al online gerommeld met geheime code verstoppen en dat zo ondetecteerbaar maken als mogelijk, en je weet dat als je er vragen over stelt je geen antwoord krijgt waar je wat mee kan of dat je vraag wordt genegeerd.

Is dat vertrouwen dan nog ergens terecht?
Qua security dan wel?
Hoe zat het eigenlijk ook alweer met het zakelijke internetbankieren?
Daarvoor was toch gebruik van Java vereist?
Vraagt de bank daarvoor nog steeds apart een verouderde niet meer security updates ontvangende Java 6 versie geïnstalleerd te houden?

Als het antwoord ja is mag jij die daar meer van weet vanaf hier het stokje overnemen en kan ik ter hoogte van mijn enkels wat plotseling benodigde cosmetische activiteit verrichten.


Omdat het dus met het vertrouwen allemaal wel goed zit hier nog een toegift
Zou deze ook nog weer boven komen drijven?
https://www.security.nl/posting/440242/ABN+Amro+gaat+betalen+met+gezichtsscan+testen
Gebruik van biometrische data? Ook kwestie van vertrouwen of dan gewoon op zijn minst blind gebruiken.

Iemand een suggestie hoe ik die vervelende ABNAMRO popup kan stoppen? echte vervelend

Verhelderend antwoord met een minder overtuigende conclusie, wellicht en ongetwijfeld gaat over vertrouwen en niet over inzicht.
Het vervelende met deze aanbieder is dat wat zij doet voor de meesten technisch moeilijk is te doorgronden en dat het vertrouwen op punten geschaad is.

Wanneer je zoekt op websocket in combinatie met security, malware of privacy wordt slechts helder dat deze techniek nog niet uitgekristalliseerd is, en dat er mogelijke security risico's aan zitten.
https://devcenter.heroku.com/articles/websocket-security
http://resources.infosecinstitute.com/websocket-security-issues/
pdf - https://media.blackhat.com/bh-us-12/Briefings/Shekyan/BH_US_12_Shekyan_Toukharian_Hacking_Websocket_Slides.pdf

De vermoede functie van die websockets is niet helemaal sluitend omdat die websocketfunctionaliteit ook wordt aangesproken als je de edentifier niet hebt aangesloten met usbkabel.
Daar staat weer tegenover dat het internetbankieren ook mogelijk is als je de websocketverbindingen blokkeert via de firewall.

Als je de aanbieder van de software niet geheel kunt vertrouwen omdat zij steeds probeerde maatregelen van gebruikers te passeren is een keuze voor blokkeren wellicht snel gemaakt.
In sommige browsers is deze websocketfunctionaliteit eenvoudig direct uit te schakelen.
https://malwaretips.com/threads/firefox-about-config-privacy-security.50957/
Een dubbel klik op de juiste string onder de about config.
network.websocket.enabled staat standaard op waarde true, dubbelklik op de regel en verkrijg de waarde false.

Wat de impact is op de algehele browse ervaring is moeilijk te zeggen.
Dat zal je zelf moeten onderzoeken, het lijkt oppervlakkig gezien veiliger omdat je het oppervlak van misbruik van verbindingen verkleint.
Omgekeerd kan bij een aanbieder die er gebruik van maakt maar er niet op rekende dat deze functionaliteit is uitgeschakeld misschien wel weer voor meer risico zorgen. De vraag daarbij is hoe niet vaak je deze functionaliteit nodig hebt.

Bevalt het blokkeren van websockets je niet of wordt het toestaan ervan voortaan verplicht zoals de trackingsoftware van adobe dan zet je de websocket waarde weer op true wat het toestaan van websockets oplevert.

Gewoon even zoeken op internet levert al snel op:
https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html

In plaats van direct download en kiezen voor installeren kan je hem ook downloaden op je harde schijf.
Dan kun je nl. gemakkelijk nagaan dat het installatiebestand "setup_0310.exe" heet,
(volgens tab "eigenschappen: versie 16.0.0.400) en dat hij 6.062.544 bytes groot is.
Iedere andere versie zou ik (nog) niet vertrouwen, tenzij hij duidelijk van de website van de bank werd gedownload (https://www.abnamro.nl/nl..........)

Meer informatie (in het engels) vond ik op een ABNAMRO-site met daarop een pdf-bestandje van hoe de update waarschuwing eruit zou moeten zien:
https://www.abnamro.nl/nl/en/corporate/products/cash-management/payments/e-dentifier/software-update-edentifier2.html
(https://www.abnamro.nl/en/images/Generiek/PDFs/025_Grootzakelijk/Cash_Management/Edentifier2_melding_software-update_EN.pdf)

Gebruik je de (door ABNAMRO aanbevolen) methode met USB kabel bij de e-dentifier2,
dan dien je de daarbij behorende software te gebruiken en zou je dus een melding moeten krijgen (of hebben gekregen) dat er een update is. Deze melding verschijnt ca. ½ uur na opstarten van PC.
Weiger je de update te installeren, dan krijg je de tijd tot 29 juli. Daarna kun je niet meer internetbankieren met de oude versie, en zou je daar opnieuw een melding van moeten krijgen. (als alles tenminste volgens het boekje werkt)

Ik mag aannemen dat nadat je de nieuwe update hebt geïnstalleerd de melding verdwijnt.

===================================================================================
Dan nog over die beconloopback.nl:
Er is hier al eens eerder melding van gemaakt: https://www.security.nl/posting/426514
(overigens: mede dank voor de bijdragen betreffende websockets etc. die al gegeven zijn in de thread alhier)

Die beconloopback.nl communicatie leek op het eerste gezicht onschuldig, omdat het communiceert met 127.0.0.1.
127.0.0.1 is (was...) normaalgesproken je eigen PC, "there's no place like 127.0.0.1" (a.h.w.: "down the drain")
en werd bijv. veel gebruikt in hostsbestanden om bepaalde domeinen te blokkeren.
Je zou gemakkelijk gaan denken: die communicatie gaat niet naar "het grote risicovolle internet".

Maar als je er wat dieper induikt, ben ik daar niet meer zo zeker van. Het is op zijn minst merkwaardig dat er tegenwoordig werkelijk een domein op het grote internet is gekoppeld aan 127.0.0.1, en dat heet... "beconloopback.nl"!
Ook kan beconloopback.nl te maken hebben met o.a. een aantal subdomeinen van abnamro.nl.
(bron: https://www.robtex.com/en/advisory/dns/nl/beconloopback/)

Er bestaat zelfs een blacklist die gekoppeld is aan beconloopback.nl:
https://www.robtex.com/en/advisory/dns/nl/beconloopback/blacklists.html

En dat geeft te denken...: waar hebben we hier nu eigenlijk precies mee te maken?
Niet bepaald een vorm van internetbankieren waar ik zomaar eventjes snel mee in zee zou gaan.
Het hoeft niet per se onveilig te zijn, maar ik wil eerst weten en helder begrijpen wat er gebeurt.
Iemand op het forum die al vaker met dit bijltje heeft gehakt misschien???

Goeroehoedjes

@Goeroehoedjes: Zou het kunnen dat er lokaal (op je eigen PC) een website draait die luistert naar beconloopback.nl ? Ikzelf heb geen ABN en bij mij levert het browsen naar beconloopback.nl of 127.0.0.1 geen website op maar een foutmelding van de browser zelf (Firefox).

Wat gebeurt er bij jou wanneer je beconloopback.nl of 127.0.0.1 in je browser ingeeft? Wanneer je de e-dentifier2 en de daarbij behorende driver deinstalleert en afkloppeld, wat gebeurt er dan? Daar ben ik eigenlijk best wel benieuwd naar.

Persoonlijk zou ik het meer dan bezwaarlijk vinden wanneer een bank dit soort geintjes zou uithalen en zonder jouw medeweten en/of toestemming dergelijke zaken op JOUW pc zou plaatsen.

Eh, naar de RABO-bank gaan?

Idd bij ABNAMRO weg gaan en duidelijk aangeven waarom.
Als er maar genoeg klanten vertrekken ....

er is geen linux versie van deze app.

Klagen helpt niet!

Verder een fijne bank. Nooit gezeik, en toen ik een wifi bankpas weigerde werd daar niet moelijk over gedaan.

- Op Ja drukken (d.w.z. Software update uitvoeren).

of

- De oude edentifier2 software deinstalleren en de nieuwste versie 03.10 downloaden (https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html) en installeren.

Succes!

Het probleem zit het 'm hier in het onaangekondigd overvallen met een update. Zet ABN een alert op hun website,
dat dit staat te gebeuren voor die klanten, die de software nog niet volledig up to date hebben,
dan is er weer veel minder aan de hand. Klanten overvallen met zoiets "out of the blue" is m.i. een beetje slordig.

Waar nog niemand het hier over gehad heeft en waarschijnlijk niet veel lieden blokkeren is het canvas fingerprinten
dat ABN AMRO doet:
CanvasFingerprintBlock blokkeerde voor mij op hun pagina:
Blocked 2 potential HTML canvas fingerprinting attempts on this page
Prevented a script on https://www.abnamro.nl from capturing the following 250px × 30px canvas (via toDataURL):
250px × 30px
Prevented a script on https://www.abnamro.nl from capturing the following 250px × 30px canvas (via toDataURL):
250px × 30px
Interessant zou zijn om eens een client track de tracker script rapport te zien en zoals andere reacties in deze draad al aangeven, het draait immers allemaal om 'vertrouwen". Dit kan via Ghostery en Disconnect.

Sinds kort overgestapt naar bunq. Een hele verademing, misschien nog niet perfect maar er wordt ten minste naar de klant geluisterd. Daarbij zit het met de veiligheid ook wel goed. In ieder geval geen irritante identifiers meer :-)

Niet nodig ! Is een optie die jou Raboank de klanten niet biedt. Wat is dan kansloos ? Met je browser schijnt minder veilig te zijn alhoewel ik denk redelijk veilig te zijn met Kaspersky AV.

wat ik mist in deze verhalen is dat je ALL TIJD MOET INLOGGEN VIA MIJN.
daar komt ie .....via mijn gast account in windows/10/8.1/7/
is veel veiliger binnen windows ..........gast account
de groeten .

@FSF-Moses (21:42)
Moeilijk met volle zekerheid te beoordelen.
In ieder geval bestaat er een DNS entry op het DNS-systeem van internet voor "beconloopback.nl".
Bij pingen naar beconloopback.nl zie ik in elk geval dat er netwerkverkeer plaatsvindt met het internet.
Beconloopback.nl wordt dan vermoedelijk extern geresolved door het externe DNS-systeem naar IP-adres 127.0.0.1.

Nu is op mijn systeem 127.0.0.1 de localhost, dus het pingen zélf, zal waarschijnlijk binnen de PC blijven:
nergens op het netwerk zou men daarvan iets moeten kunnen bespeuren.
Het enige wat ik verwacht dat je zult zien met bijv. Wireshark is de eerste DNS aanvraag.
Daarna zal het wel een tijdje in je lokale DNS-cache blijven staan, zodat Wireshark alleen die eerste aanvraag zal zien.
Ik verwacht dat de externe DNS resolve van "beconloopback.nl" hier verder niets aan verandert.
Maar zou software (bijvoorbeeld de toegevoegde ABNAMRO software) daar iets aan kunnen veranderen?

Het zou heel goed kunnen hoor, dat via 127.0.0.1 en poorten 9041 t/m 9043 met de lokale ABNAMRO-software wordt gecommuniceerd. Maar de hele constructie komt in eerste instantie wat vreemd op me over.
Mogelijk kan in de software het direct aanspreken van 127.0.0.1 tot moeilijkheden leiden, en moet het altijd via een domein gaan?

Er zijn twee organisaties die deze DNS-entry op internet "in de lucht houden", en dat zijn abnamro.nl (met 2 DNS servers) en uu.net. (met 4 DNS servers)
Deze organisaties hebben dus in de hand naar welk IP-adres beconloopback.nl moet verwijzen: 127.0.0.1 of iets anders.
(helaas geen DNSSEC.... das nou weer jammer)

Ik kan hier verder niets testen. Bevind mij onder de gelukkigen die niet over ABNAMRO identifier kastjes beschikt. ;-)


Goeroehoedjes

Laten we eens zien wat we via derde partij publieke scanning zoal kunnen ontdekken voor BeConLoopback dot nl.

Het blijft in deze reactie van mij dus bij openbaar algemeen toegankelijke info
en het bevindt zich allemaal aan de oppervlakte, maar we kunnen ons er wel wat bij voorstellen
als we wat verstand van zaken hebben.

Kijken we eerst eens naar de domein naaamservers voor BeConLoopback dot nl,
dan vinden we bijvoorbeeld -phobos21.abnamro.nl

Het hele rijtje naamservers:
-phobos22.abnamro.nl
-auth00.ns.nl.uu.net
-auth05.ns.de.uu.net
-auth55.ns.de.uu.net
-auth60.ns.nl.uu.net

Gaan we hier verder op door en kijken we naar het algemeen Symantec Certificaat.
Het certificaat van ABN AMRO heeft 1 fout: "Verkeerd certificaat geïnstalleerd".
De domein naam komt niet overeen met die van het certificaat, e.g. de common name or SAN."
De server kon niet gescanned worden op POODLE mogelijk vanwege een IDS,
of FW, of beide waarschijnlijk van Symantec zelf.

Certificate chain detail: Symantec Class 3 EV SSL CA - G3Intermediate certificate
-www.abnamro.nl Tested certificate

Zie verder hier bijvoorbeeld: http://toolbar.netcraft.com/site_report?url=+phobos21.abnamro.nl
Hier loopt ISC Bind hostmaster over tcp/open via Amsterdam - Cambridge - Duitsland terug via
-static.65.139.243.136.clients.your-server.de dan via via terug naar -unl201296.nl.customer.alter.net naar
-http://nl00059-seig-nsem01.net.abnamro.com/

Het blijft voor ABN AMRO dus allemaal wel binnenshuis, maar natuurlijk wel met markmonitor (Google) als
de naamserver organisatie.

Op haar beurt is bij deze markmonitor naamserver de DROWn kwetsbaarheid nog steeds aanwezig:
zie: https://test.drownattack.com/?site=whois.markmonitor.com

Hier on de hoofdsite komen we ook niet heel veel verder dan een magere D-Status:
https://securityheaders.io/?q=https%3A%2F%2Fwww.abnamro.nl&followRedirects=on

Maar misschien is er met de geïnstalleerde server(s) niet meer eer te behalen
binnen de aanwezige configuratie mogelijkheden?

En dit jQuery script kan men dan ook maar beter bewaren in een zipbestandje voor latere referentie
-https://www.abnamro.nl
Gedetecteerde bibliotheek:
jquery - 1.7.1 : (active1) -https://www.abnamro.nl/nl/widgetdelivery/unauthenticated/static/js/lib/lib/require-jquery.js
Info: Severity: medium
http://bugs.jquery.com/ticket/11290
http://research.insecurelabs.org/jquery/test/
Info: Severity: medium
https://github.com/jquery/jquery/issues/2432
http://blog.jquery.com/2016/01/08/jquery-2-2-and-1-12-released/
(active) - the library was also found to be active by running code
1 vulnerable library detected XSS DOM scan erop levert 47 sources en 23 sinks op.
Met mogelijke doordrenzende kwetsbare invloed op Modernizr jquery.js

Conclusie van het geheel aan info, er blijft dus nog wat te doen voor de IT afdelingen bij Verizon en de ABN AMRO.
Graag verneem ik reacties of hier echt narigheid dreigt.

Helemaal eens met deze opmerking. Ik heb ook al eens iets dergelijks meegemaakt en ABN-AMRO toen aangeraden om alleen via de eigen beveiligde site (na inloggen) met de klanten te communiceren. Geldt overigens in sommige gevallen ook voor de RABO.
En dan maar waarschuwen dat mensen voorzichtig moeten zijn. Ik snap hen niet, gemakzuchtig of ... vul het maar in.

Het probleem is dat 127.0.0.1 geen normaal webadres is, en DNS resolve van "beconloopback.nl" is nou juist 127.0.0.1!

De vraag is dan ook waar 127.0.0.1 op de door jou geraadpleegde SSL-testserver verbinding mee maakte.
Met zichzelf?... Of bestaat er stiekem toch ook een webserver op internet die achter dit IP-adres schuilgaat?
Het lijkt me niet direct aannemelijk.

Ik kan maar 1 mogelijkheid bedenken hoe 127.0.0.1 misschien toch naar een server op het internet zou kunnen verwijzen,
en dat is als het normale local-loopback mechanisme onklaar wordt gemaakt (door extra software die daarvoor zorgt?...)
Dan nog is het de vraag of een echte webserver op het internet die luistert naar IP adres 127.0.0.1 wel op internet wordt geaccepteerd. Dit zou ik zo vreemd vinden, dat ik het nauwelijks kan geloven.

Vooralsnog vind ik het geloofwaardiger dat de ABNAMRO-software op die manier met het USB-kastje communiceert.
Of misschien test de software er alleen maar mee of je wel of niet een werkende internetverbinding hebt?
Om 100% zeker te zijn, zou men het moeten meten. (netwerk analyzer/ USB-analyzer)

Maar ik blijf het een vreemde constructie vinden: het lijkt mij onnodig omslachtig, en daarom kwetsbaarder.
Stel dat iemand het voor elkaar krijgt (bijv. via MITM) om beconloopback.nl naar het IP-adres van een andere server te laten verwijzen, wat dan?

Goeroehoedjes

Vreemde constructie? Integendeel, laten we eens kijken.
De enige functie is hier nummers gecontroleerd doorgeven van dat externe usb device naar de browser op initatief van de browsers?

De hostfiles op je lokale machine is een bekende aanvalsvector om van alles te re-routen het gaat voor de DNS resolver.
Hier zit een codeerrichtlijn uitdaging. Als het IP-adres hard gecodeerd is (127.0.0.1) wort er niets geresolved en is die aanvalsvector op dns/hostsfile weg. Het kan goed zijn dat de codeerder verplicht is om een dns-naam te gebruiken omdat zoiets op die wijze gedaan hoort te worden. 127.0.0.1 is fixed niet reroutable. Localhost is vaak opgenomen in de hosts-file. Daarmee is dat redelijk afgeschermd.

Het is de keus voor de gebruiker (abn/amro klant) om die USb aansluiting te gebruiken het mag, moet niet. Het is beschikbaar voor voor Windows en MAC(unix/Linux) https://www.abnamro.nl/nl/prive/betalen/edentifier/software-installeren.html iets daarboven, "updates installeren voor 29 juli 2016".

Met de gebruikte poorten 904* is niets bijzonders aan de hand. Het is boven de 1k daaronder zou root vereist kunnen zijn. Het is onder de 32k waarmee je aan de veilige kant van soms gemaakte andere afspraken met beperkingen hebt.
Het draaien van dat USB service/demon proces met guest lijkt me prima. Guest (het sid zal nog wel bestaan) mag nergens bij als het goed is. kan niet aanloggen niets. Je moet er niet aan denken zoiets onder root/local-admin/domain-admin/netwerkservice te draaien. Veel te veel rechten. Ja het werkt, maar zet ook van alles open voor misbruik.

Welke andere alternatieven zouden er zijn:
- Het openstellen van de browsers om her en der data te schrijven en lezen? Lijkt me van niet .. dicht die handel
- Het communiceren via de windows registry door de browser. Oeps dicht laten en voor Mac gaat het niet.
- Gebruik van een XMS (cross memory service) kernel-service. Deze bestaat niet op die manier bij Windows en niet bij Unix. Als het zou bestaan dan moet er een aparte plugin in de browser gemaakt worden voor de uitwisseling. Aparte plugins wil je niet.
Het enige wat over blijft de klassieke Unix manier om poorten te gebruiken voor onderlinge communicatie.

Dit soort constructies is de basis op servers met vele services in een multi-tenancy multi-user omgevingen. Heel frustrerend als je ziet dat de securityconcepten zo slecht begrepen worden.

@karma4 (20:17)

Hola (verwonderde smiley).... Was ik misschien niet duidelijk voor jou over wat ik bedoelde?
Ik blijf het een vreemde constructie vinden voor ABNAMRO internetbankieren, met die kwetsbare beconloopback.nl etc.
(het zou niet nodig moeten zijn om nog meer uit de doeken te doen wat er precies kwetsbaar aan is)

AIs dit volgens jou géén vreemde constructie voor beveiligde applicaties als internetbankieren is, bewijs dan a.u.b. dat er veel meer banken voor internetbankieren van een soortgelijke constructie gebruik maken met zo'n externe DNS-server die naar 127.0.0.1 zou moeten verwijzen.

Goeroehoedjes

Goeroehoedjes,
Het was je eigen keus om die extra USB functionaliteit te gebruiken. Voor de consumenten wereld ken ik er niet nog een. Bedenk er zijn maar 4 banken in NL met een compleet verhaal.

Volgens mij hebben we het over Vasco's digipas 920 (2010), voor interpay hebben ze er een met stemherkenning. Een bank koopt het in en richt het in met dat soort ingekochte apparatuur. Je vraag komt neer op welke banken in de wereld doen het ook zo. Dan vind ik https://www.finextra.com/pressarticle/37012/seb-chooses-vasco-digipass-920-card-reader , http://www.identiteitskaartlezer.be/kaartlezers/digipass905, https://www.belfius.be/retail/nl/zelf-bankieren/diensten/kaartlezer/index.aspx?document.referrer=https:%2F%2Fwww.belfius.be%2Fkaartlezer

Zelfde apparaat zal niet veel anders gaan.
Dan moeten we het aan en belgische en zweedse hacker vragen, ook daar wat te vinden.
https://forum.ubuntu-nl.org/index.php?topic=87606.0

Waar staat dat ze PC-software gebruiken die moet worden aangesproken via het "lapmiddel" van een externe loopback DNS?

Goeroehoedjes

Hola, sorry, iets te haastig gisteravond. Nog even opnieuw:

@Gisteren, 20:17, Karma4:
Bedankt voor je reactie 20:17 door karma4 - Bijgewerkt: Gisteren, 20:41, maar:

1. waar haal je vandaan dat het mijn eigen keuze zou zijn om USB te gebruiken? (zie 10-07-2016, 17:18, onderaan)

2. Waar staat in jouw links dat een loopback naar 127.0.0.1 via externe DNS hierbij wordt aanbevolen of normaal is?
(dat is namelijk het "vreemde" onderdeel dat we onder de loep hebben. Niet hoeveel men met USB-digipass werkt)

3. Zelf op internet gezocht naar nut en zin van een externe DNS server die resolved naar 127.0.0.1 , maar tot nu toe geen duidelijke informatie daarover gevonden. Wel enkele mensen die het zich ook afvragen, maar geen duidelijke antwoorden uit betrouwbare bron wat de functie daarvan is. Mogelijk kan het op meerdere manieren worden toegepast.

Of en in hoeverre dit nu de veiligheid van ABNAMRO internetbankieren schaadt, is zonder een gedetailleerd gedegen onderzoek nog wat onzeker.
Maar die beconloopback.nl dns-aanvraag die meestal via thuisrouters loopt die nou niet bepaald bekend staan als "erg robuust", plus het gebrek aan DNSSEC maakt deze constructie zonder duidelijke verklarende informatie
qua security bij mij twijfelachtig. Maar of je dan beter af bent zonder die USB verbinding weet ik evenmin 100% zeker.
Zoals eerder gezegd: gelukkig hoef ik die keuze zelf niet te maken, en ik denk dat ik dat maar zo houd. ;-)

(= mijn persoonlijke mening; iemand anders mag daar best anders over denken)


Goeroehoedjes

Ok goeroehoedjes,
Ik had je vraag begrepen alsof ABN-AMRO iets zelf in elkaar geknutseld had. Het gaat echter om grote bedrijven. Ik noemde Vasco maar Voor ABN-AMRO in 2012 moet het Gemalto zijn. Als grote bedrijven worden ze door zeer veel afnemers gecontroleerd of het wel goed is. Daar tegenover staat natuurlijk dat omdat iedereen denkt dat iemand anders de controle wel doet het uiteindelijk niemand doet. Voor de omvang van het gebruik van die manier hoop ik dat we het eens zijn dat het geen bijzonder afwijkend iets is.

Via het ubuntu forum kon je terug naar de belgische benadering van digid met web bsn/identificatie. Het is met dat soort devices en dubbele certificaten op zo'n kaart opgelost. Je moet dan een connected (usb) oplossing hebben.

Wat heb ik aan links is:
http://www.cs.ru.nl/~rverdult/Designed_to_Fail_A_USB-Connected_Reader_for_Online_Banking-NORDSEC_2012.pdf Het verhaal is met figure 3 heel interessant Je ziet dat de USB-Server met het token device zich bevind op jouw ijzer.
https://www.zurich.ibm.com/pdf/csc/WorldCIS-draft.pdf Let even op het noemen localhost fig 2.
http://www.smartcardalliance.org/scm-microsystems-delivers-verifiable-security-for-consumer-internet-transactions-among-first-to-achieve-finread-compliance/

Nu je vragen:
1/ In het Nordsec radboud verhaal e-indetifier2 ABN-AMRO 2012 vind je terug dat het device zowel connected als unconnected kan werken. unconnected is geen usb driver of wat dan ook. Die keus heb je zelf.
In het ubuntu-forum zie je de zelfde opmerkingen als er met de challenge unconnected (belfius) gewerkt kan worden dan kost het batterijen. In de handleiding van ABN-AMRO staat het ook. Waar is jou dwang voor USB bij jouw gebruik?
https://www.abnamro.nl/nl/images/Generiek/PDFs/Overig/edentifier2_usermanual_english.pdf

2/ De genoemde figuren 2 (radboud) en 3 (Ibm zurich) Zie je dat jou ijzer/desktop de rol van een functionele server krijgt voor her card-device. Dit is een kritiek server proces wat je niet zomaar open wil zetten voor andere machines.
Er is geen externe DNS die 127.0.01 kan aansturen, het gaat niet naar buiten. https://en.wikipedia.org/wiki/Localhost

De standaard die er achter zit lijkt Finread te heten (2001).

3/ Zoek nu eens op hardening server localhost Zeer veel hits bijvoorbeeld https://linux-audit.com/linux-server-hardening-10-easy-steps-to-secure-your-system/ "3. Bind processes to localhost - Not all daemons have to be available via the network. For example, when running a local instance of MySQL on your web server, it is a viable option to let it only listen on a local socket or bind to localhost (127.0.0.1)."

De vraag wat nu veilig is en wat gebruikers vriendelijk is in de IBM link goed uitgewerkt.
Niet maar een persoonlijke mening van mij.

Wifi bankpas?

Bij een spontane updatemelding:
Niet akkoord gaan, maar ga direct naar de site van de makers (in dit geval de bank) en download daar de laatste versie.

Maak je vertrouwd met de documentatie van het protocol, de processen zijn immers steeds hetzelfde ("nnUAPRSF"), kom dan tot een interpretatie aangaande de kwetsbaarheid. De kwetsbaarheden rond kaartlezers werden recent nog uitgebuit door sluwe Vietnamese hackers. Zelfs ontvreemde kaartchips werden uitgeboord en vervangen door andere om zo grote geldbedragen buit te kunnen maken. Tegen fysieke toegang helpt immers geen lieve moer.....
Maar weet dat de inventiviteit van de "malcreant" anderszins ook vaak geen grenzen kent, hij heeft dan ook tijd te over. Gebruik ook altijd de juiste bijpassende kabel. Met mensen die al met hun ov-chip in de hand geïmplanteerd reizen, verbaast me tegenwoordig niets meer. Dit alles maakt beveiligingstechniek zo verrekte interessant en doordat het niet meer geheel te overzien is vaak zo specialistisch. Dank aan allen voor hun reacties, en ik hoop dat het maar ten goede mag worden aangewend!

@karma4,

Oeioeioei, praat me niet van vertrouwen in grote bedrijven alsof die nooit iets vergeten of fout doen.
Ook grote bedrijven bestaan uit mensen, en alle mensen maken fouten. Houd daar maar rekening mee.

1. voor de zoveelste keer: ik heb niet eens zo'n kastje.
Abnamro levert dat ding met de mogelijkheid om usb aan te sluiten.
Ik had eerst begrepen dat er alleen over die 3 poorten 904x wordt gecommuniceerd als het aan de USB hangt.
Dat leek me wel plausibel. Verder niet. Misschien is dat niet zo. Of toch wel.
Het zal me verder een worst wezen. Geen idee waarom jij het zo opblaast.

2. Nou, das dan kennelijk anders bij die e-dentifier2 van abnamro.
Beetje vervelend om dit nu weer te herhalen. Is in deze thread allemaal al over geschreven karma4.

3. Juist!!! Hehe. Nu zijn we in ieder geval op het spoor gekomen van zoals het eigenlijk zou moeten zijn.
(was ik eerder al tegenaan gelopen, maar laat eerder zien hoe vreemd het dus is wat er gebeurt...)

"listen on a local socket or bind to localhost"...

Dit is relevant.
Daarmee heb je het principe in beeld: voor maximale security houd je liefst je zaakjes zoveel mogelijk lokaal.
Want zodra je zonder sterke securitymaatregelen het internet opgaat, loop je meestal méér risico, hoe je het ook wendt of keert. Al is het maar kort, vanwege zo een simpele DNS-resolve voor beconloopback.nl.
Wie garandeert dat er geen MITM tussen zit die de boel versjaggert? Die bui wil je liever niet zien hangen.
Daarbij is het IPadres voor localhost (127.0.0.1) lokaal al bekend. Waarom daarvoor die omweg dan nog gebruiken?
Kon er dan echt geen enkele programatuur daar lokaal achterkomen zonder DNS zo gekunsteld te raadplegen?
Toch vreemd...

Goeroehoedjes

Goeroehoedjes , ik weet hoe veel er fout gaat in grote organisaties De op macht en hierarchie gestoelde cultuur met erg goed voor je zelf zorgen. Er gaat ook een boel wel goed met zaken waar een klein bedrijf niet eens aan kan beginnen.
Nee fe top van banken zie ik las gebrek aan ethiek.

Dan nog ga ik voor echte inhoud niet zo maar wat vermoedens dat het niet goed zal zijn. Onderzoek .... dat is waar ikme druk over maak.

Die website communiceert standaard over 443 + de drie eerder genoemde poorten tijdens het internetbankieren.
Daar hoef je geen klant voor te zijn en ook geen usb apparaat voor aan te sluiten, dat kan je gewoon zien in de pagina code al dan niet met behulp van een addon als een adblocker.

Off-usb bankieren met de edentifier2 in combinatie met het blokkeren van die 3 x 90..poorten is mogelijk.

De vraag is wat er gebeurt met een per usb aangesloten edentifier2 tijdens het internetbankieren en het blokkeren van deze 3 extra poorten (dan werkt het vast niet meer maar wie weet dat?).

De extra vraag is nog steeds wat er aan communicatie over die drie poorten gaat, zou het een bypass kunnen vormen voor communicatie die je onder poort 443 niet toestaat?
Dus communicatie naar een extern trackerdomein op poort 443 geblokkeerd maar dan via de lus van de drie andere poorten encrypted en wel naar de ongewenste trackerbestemming?

Tegen een zuivere communicatie benodigd voor een aangesloten usb-edentifier2 kan minder bezwaar bestaan dan een bypass van communicatie die sommigen niet willen.
Goedvinden en vertrouwen bestaat in dit geval bij voldoende inzicht en waarborgen krijgen dat de techniek goed gebruikt wordt en niet tegen je, zoals dat nu ook het geval is met het verplichten toe te staan van externe tracking bedrijven in een ingelogde omgeving.

We zullen er wel niet achter komen en tot die tijd blijft vertrouwen in gebruik van extra software dus op een niet onderbouwd idee van vertrouwen.
Of op basis van desinteresse.
Dat kan ook natuurlijk, wel zo makkelijk.

06-07-2016, 15:20 door Anoniem


Hebben we het nog niet eens over mobiel bankieren.
Iemand al eens geanalyseerd wat de mobile app versie dan wel aan verbindingen legt met tracking jan en alleman?

Heb al verschillende pop-up meldingen van deze edentifier2 update ontvangen. Uitermate knullige benadering van je klant als je het mij vraagt (als het van ABNAMRO komt). Op de site van ABNAMRO zie ik nog nergens een mededeling van deze update, en ik heb een mail gestuurd om te vragen of het daadwerkelijk gaat om een update van de bank, daarop wordt helaas niet gereageerd. Gezien het feit dat eerdere meldingen hier dateren van meer dan een week geleden zou je kunnen verwachten dat de bank een berichtje op de site zet. Direct op de eerste pagina, niet te missen. Kunnen ze daar meteen de link plaatsen waarmee je de installatie start. Mocht de update niet van de bank zijn dan hebben ze inmiddels al voldoende verontruste klanten gezien en moeten ze toch in hoofdletters-vette druk waarschuwen voor deze update.

Maar ik ben maar een leek en zo eenvoudig zal het dan niet gaan. Anders heette het wel esimplyfier2

@Gisteren, 22:52 door Anoniem:
Kan het nog komen doordat je die extra software van Abnamro hebt geïnstalleerd?
Installeren daarvan hoeft als ik het goed begrijp alleen als je van plan bent om het kastje op USB aan te sluiten.
Maar als de software eenmaal op je PC staat, zal daar waarschijnlijk altijd wel enige werking van uitgaan.
(dus ook als er geen e-dentifier2 op de USB zit aangesloten)
Immers er verscheen een popup zonder dat er werd geïnternetbankiert vertelde topicstarter.
Dat moet ergens door gefaciliteerd zijn, en die extra software ligt het meest door de hand.

@Vandaag, 16:11 door Anoniem:
Als ik internetbankieren van abnamro had, en erg onzeker was over de melding, zou ik naar de officiële website van Abnamro gaan. Zie voor verdere informatie: https://www.security.nl/posting/477413

Goeroehoedjes

Nee, het is als eerder gezegd standaard op de webpagina aanwezig en heeft niets te maken met wel of niet installeren van extra software.

Zelf zien?
Dat kan, bezoek de pagina
https://www.abnamro.nl/portalserver/nl/prive/index.html?l

Verricht de volgende handelingen
-cookies accepteren
-klik op login onder edentifers
-kies en klik onder linker edentifier2

Heb de extensie addon Adblock plus bij de hand
-kies open blockable item van Abp addon
-sorteer de verbindingenlijst omgekeerd en de drie wss verbindingen komen bovenaan in de lijst te staan

Zonder usb, zonder edentifier, zonder extra software,
maar niet zonder handen, niet neuzig genoeg.
Vandaar waarschijnlijk ook dat bij een zoektocht in de paginacode zelf deze vermeldingen niet werden gevonden.
Succes gewenst aan de echte speurneuzen.

Ik beschik over meerdere computers.
De update uitgevoerd op mijn werklaptop.
Kan ik in eens NIET meer via Usb inloggen behalve in IE. (W10)
Op mijn andere laptop (prive) geen update gedaan, en daar werkt het wel met Usb in alle browsers die ik gebruik.
De bank meerdere malen gebeld.
Ze denken werkelijk dat ze alleen idioten aan de telefoon krijgen.
Ik heb 3x gebeld.
De eerste zei, uw browser is 64bit en dat ondersteunen wij niet.
De 2e zei : herinstalleer de 32bit versie van Windows 10 ipv de 64bit (dat is pas een idioot)
De 3e zei het ligt nooit aan ons ,maar altijd aan de klant zelf, zojuist nog iemand gehad met gelijk probleem en was binnen een paar tellen klaar meende een medewerker.
Dus ik zeg... Kom maar op vertel het maar... eindconclusie, Abn sucks en ze lu.len maar wat in de ruimte.
Het werkt niet in Firefox,Chrome,Safari,Edge etc etc.
En het enige wat de bank zegt, dat ligt aan uw browsers, en heeft u de oude cookies al verwijderd.......
Pfffff ik ga slapen, ben doodmoe van die slappe verhalen.
Ik heb ook nog wel een paar bankmails,....Ik overweeg ze openbaar te knallen.

inderdaad: clear cookies & clear cache kan wel eens nodig zijn.
Wees er in ieder geval zeker van dat je wissen van beide, alle browsercache en cookies, hebt geprobeerd.

Uiteraard zijn de cookies/cash verwijderd/gewist.
Tot vervelends aan toe.

mmmwwja... das dan inderdaad knap klote kan je wel stelle....
Ik ben bang dat abnamro in zijn ijver teveel wil controleren en in de gaten wil houden, en er te weinig rekening mee houdt dat hele horden mensen hun systemen zélf al tweaken om bepaalde handelingen niet toe te laten, of AV software gebruiken die zoiets doen, juist uit veiligheids en privacy-overwegingen.

Zou de ijverige banksoftware zich daardoor nu misschien teveel zélf als een virus of een indringer presenteren?
Dan is het nl. geen wonder dat het niet werkt.

Wow, 51 berichten over een stukje software dat in mijn ogen overbodig is. Je kunt inloggen zonder kabeltje en onnodige software op je computer te installeren. Soort e.dentifier kiezen, nummertjes intypen en je bent binnen. Werkt onder Linux, OS X en Windows, zonder speciale software.

Kan, maar abnamro adviseert gekoppeld gebruik, m.a.w.: gekoppeld gebruik kan handiger en nog veiliger zijn.
Dat werkt echter alleen als je ook de sofware installeert. Lees maar:
https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html:

Wat voor zin heeft dat gekoppeld gebruik met extra software dan?
Lees: https://www.abnamro.nl/nl/grootzakelijk/producten/cash-management/betalen/e-dentifier/software-update-edentifier2.html:
Anders gezegd: kan vooral handig zijn bij grootzakelijk gebruik, maar iedereen kan er dus gebruik van maken.

Wel blijkt dat gekoppeld gebruik in combinatie met een systeem met Firefox of Google soms kan leiden tot wat meer "gedoe": Zie https://www.abnamro.nl/nl/prive/betalen/edentifier/software-windows.html, stap 5.
@ 23-07-2016, 18:49 door Anoniem: al geprobeerd?

Ik sta er verder neutraal in. Verschaf u slechts informatie die misschien niet iedereen bekend was.
Dit is slechts wat abnamro ons hierover momenteel op hun website vertelt, en zij zouden het moeten weten...
Alleen als mensen volledig geïnformeerd zijn, kunnen zij een weloverwogen keuze maken vind ik.

Goeroehoedjes

@Goeroehoedjes
Dat is mij inderdaad bekend. Ik had de software ook geïnstalleerd in het begin, maar door conflicten met de door mij gewenste browser besloot ik het zonder te doen en dat werkt prima. Bovendien ben ik er niet zo happig op om allerlei software op de achtergrond te laten draaien, de kans op conflicten en lekken van data (phone home) wil ik zo klein mogelijk houden.

Tegenwoordig gebruik ik vaak mijn smartphone voor bankzaken, dan kan ik tenminste geen discussie krijgen met de Bank dat mijn computer onvoldoende beveiligd was. Mijn phone is altijd up to date met de laatste OS versie.

Dat is nog maar de vraag:
Lees:https://www.abnamro.nl/nl/prive/internet-en-mobiel/mobiel-bankieren/systeemeisen-mobiel-bankieren-app.html:


Dus linksom of rechtsom: de banken schuiven je stilzwijgend de nodige sores en ICT-kosten in de schoenen.
(als je tenminste niet om andere redenen toch al een nieuw apparaat wilde kopen)

"Gratis internetbankieren?" Vergeet het maar!
Nou ja, tenzij je iedere keer naar de bank gaat, en daar in een openbare ruimte achter hún computerscherm jezelf als onbetaalde bankmedewerker bedient, en het risico voor de codes en per ongeluk een foute overboeking o.i.d. zelf draagt...

Geen internetbankieren dan maar?
Dan betaal je je weer blauw aan torenhoge "servicekosten" en dergelijke.

Er lijkt een vreemde, ongeschreven, en in mijn ogen onrechtvaardige wet te zijn ontstaan:
"Particulieren moeten en zullen meebetalen om de bank winst te laten maken, en belachelijk hoge bonussen te laten uitkeren"... ABNAMRO wekt bij mij niet de indruk hierin de minst besmette bank te zijn.

Laat een ieder voor zich dan maar de "minst ellendige oplossing" uitkiezen.

Goeroehoedjes

Heb net een nieuwe telefoon en wilde checken op mijn rekeningnummer
Er stond dat ik moest inloggen met de e.dentifier2. Op zicht geen probleem
Maar op de e.dentifier2 staat: Deze pas is niet geschikt.

Heeft iemand anders dat ook wel eens gehad? En wat kan je eraan doen?

Voortaan kun je beter een nieuw topic starten in plaats van een jaar oud topic die toevallig hetzelfde woord waar jouw onderwerp over gaat bevat.

pas aan beide zijden over je trui vegen zodat alle viezigheid eraf is
pas er daarna een aantal keer erin en eruit doen totdat het weer werkt
'de pas van de buurman gebruiken om je rekeningen mee te betalen'

Je pas misschien stuk, kun je nog pinnen? Je kunt ze altijd bellen, dan hoor je het meteen.

Ik heb geen idee wat er bij mij stond, maar mijn pas werkte plots niet meer op de e.dentifiers. De oplossing: nieuwe pas aanvragen.

De IT afdeling van ABN-Amro is overigens wel aan het knoeien. De installer van de e.dentifier software voor de mac gebruikt al maanden een certificaat wat geldig is van 1 augustus 2016 t/m 3 augustus 2016. Ik heb het net nog even getest met een nieuwe download van de software.

Als je nu de software installeert krijg je altijd de melding dat het certificaat ongeldig is. Deze versie van de installer wordt inmiddels al een half jaar gebruikt. Blijkbaar wordt deze melding van een ongeldig certificaat door iedereen genegeerd. Op zich heel vreemd voor een stukje software dat voor zulk gevoelige zaken gebruikt wordt.

Ik zelf voelde me niet geroepen om hier een bugmelding van te doen, maar er zal toch wel een personeelslid van deze bank zijn die de software gebruikt?

Contacten van bankpas even schoonwrijven met een niet-pluizende tissue wil wel eens helpen.