Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Triodos toegangsbeveiliging bankieren zo veilig als PostNL

21-10-2016, 12:24 door Anoniem, 23 reacties
Ik heb een account bij de Triodosbank. Triodosbank levert een digitale identifier waarmee je zonder bankpas toegang krijgt tot je bankrekening. Onlangs was het batterijtje van deze identifier leeg. Een nieuwe aangevraagd. Paar dagen later per post de PIN-code, weer een dag later de identifier.

Nu is mijn vraag: Hoe is het mogelijk dat dit op deze manier wordt afgehandeld. Iemand die een week lang mijn post onderschept heeft volledige controle over mijn bankrekening. Ik begrijp niet dat banken hier op deze manier mee omgaan...

Ben erg benieuwd wat andere daarvan vinden. Of moet ik dit maar als heel normaal beschouwen?
Reacties (23)
21-10-2016, 14:05 door Anoniem
2 zendingen waar je op zit te wachten. als je ze niet krijgt ga je reclameren. prima lijkt me.
interessant zou kunnen zijn hoe je dit proces in gang moet zetten, dwz wat is de kans dat iemand dat voor
elkaar krijgt zonder dat je dat weet en merkt.
21-10-2016, 14:26 door Anoniem
Ook een interessante vraag is natuurlijk waarom je bij de meest duurzame bank van Nederland het batterijtje van die identifier niet kunt vervangen. Dat lijkt me een stuk duurzamer dan het hele ding vervangen.
21-10-2016, 14:51 door Anoniem
Door Anoniem: 2 zendingen waar je op zit te wachten. als je ze niet krijgt ga je reclameren. prima lijkt me.
interessant zou kunnen zijn hoe je dit proces in gang moet zetten, dwz wat is de kans dat iemand dat voor
elkaar krijgt zonder dat je dat weet en merkt.

Voordat je hebt gereclameerd is je bankrekening al geplunderd...
21-10-2016, 15:28 door Anoniem
Door Anoniem: Ik heb een account bij de Triodosbank. Triodosbank levert een digitale identifier waarmee je zonder bankpas toegang krijgt tot je bankrekening. Onlangs was het batterijtje van deze identifier leeg. Een nieuwe aangevraagd. Paar dagen later per post de PIN-code, weer een dag later de identifier.

Nu is mijn vraag: Hoe is het mogelijk dat dit op deze manier wordt afgehandeld. Iemand die een week lang mijn post onderschept heeft volledige controle over mijn bankrekening. Ik begrijp niet dat banken hier op deze manier mee omgaan...

Ben erg benieuwd wat andere daarvan vinden. Of moet ik dit maar als heel normaal beschouwen?

Ja, dat moet je maar als heel normaal beschouwen - voor een kleine bank zonder filialen.
21-10-2016, 15:47 door Anoniem
Door Anoniem: Ook een interessante vraag is natuurlijk waarom je bij de meest duurzame bank van Nederland het batterijtje van die identifier niet kunt vervangen. Dat lijkt me een stuk duurzamer dan het hele ding vervangen.

Die begrijp ik op zich wel. Ze hebben liever niet dat je hem open maakt, als je dat wel doet, gaat ie kapot om veiligheidsredenen. Maar dat is natuurlijk overdreven veilig als je in acht neemt dat de identifier zo per post wordt verstuurd. Kortom een ketting is zo sterk als de zwakste schakel...
21-10-2016, 17:23 door Anoniem
Bij mij kwam ie van de SNS (op mijn aanvraag, batterijtje inderdaad leeg na ca 10 jaar).

Maar die stuurden hem per koerier, waarvoor ik eerst een mail kreeg wie die koerier was en hoe hij er uit zag (pasfotootje erbij!)

En bij die koerier moest ik me legitmeren, anders kreeg ik de identfier niet.

Het kan dus ook anders!

In elk geval over klagen bij de Triodos bank, als je dat niet doet blijft het in elk geval zo!
21-10-2016, 17:30 door Anoniem
Ze hebben liever niet dat je hem open maakt, als je dat wel doet, gaat ie kapot om veiligheidsredenen.
Hij gaat volgens mij niet kapot. Hij raakt slechts onbruikbaar zodra de chip even zonder spanning komt.
Specialisten kunnen er een nieuwe batterij inzetten en er een nieuwe sleutel in laden en een reset van de pincode doen,
en daarna weer hergebruiken. Zo niet, dan zorgt Triodos vast wel voor de milieuvriendelijke verwerking.
Dus milieu is waarschijnlijk het probleem niet.

Ik weet niet hoe goed de pinbrief is te herkennen, maar dat zou al niet gemakkelijk kunnen zijn. Dat is de eerste drempel.
Met zo'n identifier kun je alleen internetbankieren, verder niks. Geld moet dus altijd eerst overgemaakt worden naar een
rekeningnummer, en een rekeningnummer staat altijd op naam. Zo kennen ze dus meteen de dader of een medeplichtige.
Iemand die aan dit soort fraude begint wordt daarom vrijwel altijd gepakt, en is getekend voor het leven en zal de schade
die hij heeft veroorzaakt moeten vergoeden + waarschijnlijk een boete er bovenop of in hechtenis. Domdomdomdom.
Een goed gescreende postmedewerker zal dan ook niet snel aan dit soort fraude beginnen.
Dat blijkt ook wel, want anders zou Triodos echt niet meer op deze manier werken.

Maar je kan natuurlijk altijd vragen of je het niet bij een bankfiliaal kan komen afhalen.
Of om bijv. je internetbankieren tijdelijk te blokkeren totdat jij de bank een seintje geeft dat de nieuwe pincode en de nieuwe identifier in goede staat zijn gearriveerd, en dat je internetbankieren dus direct weer geactiveerd mag worden.
Brief en identifier elk via verschillende postbedrijven versturen verkleint ook het risico.
Overleg het eens met je bank zou ik zeggen.

Goeroehoedjes
21-10-2016, 17:54 door Anoniem
Ze leren het kennelijk nooit bij Triodos. Bijna 4 jaar geleden wilde ik een rekening openen, alle gegevens incl. BSN etc. etc. doorgegeven via een https site die ik vooraf volledig gecontroleerd had op certificaat etc. Krijg ik doodleuk een EMAIL terug met de mededeling dat de aanvraag in behandeling genomen is met een OPSOMMING van AL mijn gegevens.

Ongelofelijke sukkels zijn het daar.

Meteen een klacht ingestuurd en alles laten verwijderen.
21-10-2016, 17:55 door Anoniem
Ook een interessante vraag is natuurlijk waarom je bij de meest duurzame bank van Nederland het batterijtje van die identifier niet kunt vervangen. Dat lijkt me een stuk duurzamer dan het hele ding vervangen.
Bij de uitgifte van die tokens worden ze voorzien van een 'seed' uit de centrale server. Doordat de server en de token 'in sync' lopen, kunnen de gegenereerde codes (die tijdsafhankelijk zijn) worden gematched op de server. Haal je het batterijtje eruit (tijdens een batterijwissel bijvoorbeeld), dan stopt het interne klokje van de token, waardoor de sync met de server vervalt. Hierdoor matchen de gegenereerde codes niet meer en kun je dus niet meer inloggen.
Zelf had ik eens bedacht om een token open te maken, er een 3 Volt voeding op te solderen om de spanning tijdens de batterijwissel erop te houden, en deze weer af te koppelen na de wissel. Bij het openmaken zag ik echter een geleidend rubbertje in het deksel zitten. Deze overbrugde 2 padjes op de print. Bij het openmaken werd dit contact verbroken waardoor de token zijn firmware (of seed) wiste. Dit als een anti-reverse-engineer tactiek.

Ben erg benieuwd wat andere daarvan vinden. Of moet ik dit maar als heel normaal beschouwen?
Ik kreeg mijn code per post en de token per koerier (die meteen mijn ID controleerde en scande, mét een BSN-masker erop, netjes!). Het zal dus per bank verschillend zijn hoe ze hiermee omgaan. Vergeet ook niet dat banken de totalen in beeld hebben mbt misbruik. Stel dat de procedure van 2 brieven per post 1x per 10.000 transacties fout gaat, in hoeverre staat dat dan nog in verhouding tot het in de arm nemen van een koeriersdienst, met alle kosten van dien? Of stuur je de koerier alleen naar klanten in 'kanswijken' of mensen met een bepaald profiel? En mag dat wel?

Oftewel, het blijft een lopende discussie... Van sommige zaken is het verbazingwekkend hoe vaak het goed gaat.
21-10-2016, 18:28 door Anoniem
Door Anoniem: Ook een interessante vraag is natuurlijk waarom je bij de meest duurzame bank van Nederland het batterijtje van die identifier niet kunt vervangen. Dat lijkt me een stuk duurzamer dan het hele ding vervangen.
Ik weet niet wat voor apparaatje Triodos precies gebruikt, maar ik weet wel dat er dat soort apparaten zijn met een ingebouwde klok die een rol speelt bij het genereren van codes. Niet alle klokken lopen precies even snel, en daarom wordt tijdens het afhandelen van challenge/response-interacties ook de server, door de precieze response die hij terugkrijgt, op de hoogte gehouden van hoe laat het op het apparaatje is. Zo lang je met niet al te enorme tussenpozen het apparaatje gebruikt blijft de tijdsynchronisatie in stand en gaat alles goed. Maar incidenteel moet zo'n apparaatje bij de bank opnieuw gesynchroniseerd worden omdat het gat te groot is geworden. Dat was althans zo bij een andere bank waar ik voor heb gewerkt die dergelijke apparaatjes gebruikte.

Ik vermoed dat bij die opzet verwisselbare batterijen veel ellende zouden geven, als de batterijen eruit zijn geweest moet je terug naar de bank omdat de klok even stil heeft gestaan. Dan ben je beter af met een batterij die de klant niet zelf kan verwisselen maar die jaren meegaat.
21-10-2016, 23:29 door Anoniem
Door Anoniem: Bij mij kwam ie van de SNS (op mijn aanvraag, batterijtje inderdaad leeg na ca 10 jaar).
Maar die stuurden hem per koerier, waarvoor ik eerst een mail kreeg wie die koerier was en hoe hij er uit zag (pasfotootje erbij!)
En bij die koerier moest ik me legitmeren, anders kreeg ik de identfier niet.
Het kan dus ook anders!
In elk geval over klagen bij de Triodos bank, als je dat niet doet blijft het in elk geval zo!

Ik ook SNS, en na 2 keer zelf de batterij vervangen te hebben werkte die niet meer, dus nieuwe aanvragen.. Idd mail dat bezorger (geen foto of naam, van bedrijf of werknemer) hem kwam brengen op dag x. De "postbezorger" komt aan deur en "moet" mij ID inscannen. Ik: "Hell no". Bezorger weer vertrokken (incl apparaatje).. Klachten procedure opgestart, en geëist dat apparaat op lokale filiaal afgeleverd zou worden. 2 dagen later mijn apparaatje bij lokale filiaal opgehaald, wat er met klachten procedure is gebeurt..??? Geen idee.
22-10-2016, 13:24 door Anoniem
Door Anoniem:
Door Anoniem:
wat er met klachten procedure is gebeurt..??? Geen idee.

In hun zonarme locatie gestopt waarschijnlijk. Dat was de doorslaggevende reden voor mij om bij Rabobank te vertrekken. Klachtafhandeling werd gedaan door de lokale afdeling. Mijn verzoek om de klacht te escaleren naar het hoofdkantoor (waar die thuishoorde) werd geweigerd. Misschien probeerde ze zo het aantal klachten te beperken en hun baan te redden, maar de klacht zelf ging over de centrale organisatie.

Verder heb ik ook zoiets meegemaakt wat "17:54 door Anoniem" zegt, alleen bij een ander SNS merk en qua impact nog erger. SNS heeft een aantal dochterbedrijven waar men er niet voor schuwt om kopie paspoort en alle aanvraagformulieren via email toe te sturen als ze gewoon een aanvullend document willen hebben om een rekening te openen. Dat geeft ook wel aan hoe ze er intern mee omgaan.

Is het nog zo dat als je een pakje ophaalt bij een postnl ophaalpunt dat het nummer van het paspoort wordt opgeslagen? Daar moeten ze ook mee ophouden. Tonen van het paspoort is voldoende.
23-10-2016, 22:11 door Anoniem
@TS: Ik zie het probleem niet zo, want jij merkt snel genoeg wanneer je de kastjes en/of codes niet ontvangt en daar dus melding van kan doen. Daarnaast, en waarschijnlijk het belangrijkst, is het de bank die er voor kiest het zo op te sturen en dus het risico neemt dat het een keer fout kan gaan...

Overigens vind ik die 'identifiers' zoals bij deze bank en SNS/ASN maar niks. Bij al deze banken kun je die identifier niet gebruiken als two factor apparaat, met andere woorden het inloggen met alleen username/password blijft mogelijk. Net als bij de ING overigens.

Het systeem van de Rabobank vind ik nog altijd het sterkst; je 'identifier' is je bankpas en je pincode, die je moet uitlezen met een universele reader die je dus ook kunt lenen van anderen. De nieuwste variant van de random reader vereist zelfs dat je bij de pc bent waar de betaling wordt gedaan, omdat je namelijk een unieke code van het scherm moet scannen. En ja, je kunt zelfs de batterijen verwisselen, iets wat je met die oude niet kon.

Ik weet niet hoe dat zit met andere banken, maar contactloos betalen kun je ook gewoon uitzetten per pas, en je kunt ook per (wereld)regio aangeven waar je wel of niet geld wilt op kunnen nemen als extra maatregel. Daar bovenop zijn alerts via SMS bij grotere betalingen allemaal in te stellen zoals je wilt en geheel gratis.
24-10-2016, 11:07 door Anoniem
Door Anoniem:
Overigens vind ik die 'identifiers' zoals bij deze bank en SNS/ASN maar niks. Bij al deze banken kun je die identifier niet gebruiken als two factor apparaat, met andere woorden het inloggen met alleen username/password blijft mogelijk. Net als bij de ING overigens.

Het systeem van de Rabobank vind ik nog altijd het sterkst; je 'identifier' is je bankpas en je pincode, die je moet uitlezen met een universele reader die je dus ook kunt lenen van anderen. De nieuwste variant van de random reader vereist zelfs dat je bij de pc bent waar de betaling wordt gedaan, omdat je namelijk een unieke code van het scherm moet scannen.

Voor alles is wat te zeggen, er is geen beste oplossing.
Rabobank: kunt je als je de pas fysiek in handen hebt en je hebt de pin code, alles doen met de rekening.
ING: Gebruikt UserID / Password + SMS, Waarbij SMS niet meer het meest veiligste is op een huidige smartphone. Maar met een UserID / Password kan je gemakkelijk Paypal (of een andere variant) koppelen aan de rekening.
ASN/SNS: Gebruikt UserID / Password + Tokengenerator. Je moet dus fysiek de tokengenerator hebben, maar ook een UserID / Password. Maar met een UserID / Password kan je gemakkelijk Paypal (of een andere variant) koppelen aan de rekening. Bij een defect token, kun je geen transacties meer uitvoeren via de website.

Ofwel iedere oplossing heeft zijn voor en nadeel.
24-10-2016, 16:00 door devias
Meest voorkomende scenario: Je PC en/of je smartphone is gehackt.

Rabobank: niet inloggen, geen transacties
ING: inloggen (informatielek), mogelijk transacties als SMS onderschept kan worden
ASN/SNS: inloggen(?), mogelijk transacties via derden

De Rabobank-methode is alleen kwetsbaar als je persoonlijk beroofd wordt.
24-10-2016, 16:09 door Anoniem
Overigens vind ik die 'identifiers' zoals bij deze bank en SNS/ASN maar niks. Bij al deze banken kun je die identifier niet gebruiken als two factor apparaat, met andere woorden het inloggen met alleen username/password blijft mogelijk. Net als bij de ING overigens.
Dit is niet zo waar als het klinkt. Erg ongenuanceerd, en details maken hier een enorm verschil.
Kijk svp voor het complete verhaal op de website van SNS-bank of ASN-bank.
25-10-2016, 23:31 door Anoniem
Door Anoniem:
Overigens vind ik die 'identifiers' zoals bij deze bank en SNS/ASN maar niks. Bij al deze banken kun je die identifier niet gebruiken als two factor apparaat, met andere woorden het inloggen met alleen username/password blijft mogelijk. Net als bij de ING overigens.
Dit is niet zo waar als het klinkt. Erg ongenuanceerd, en details maken hier een enorm verschil.
Kijk svp voor het complete verhaal op de website van SNS-bank of ASN-bank.

Dit is thans prima vaststellen zonder klant te zijn van deze banken:

Bij Triodos (https://bankieren.triodos.nl/ib-seam/login.seam) kun je kiezen of je de Identifier gebruikt, maar in het 2e tabblad kun je alsnog inloggen met username en wachtwoord. Met andere woorden, de extra veiligheid die jij denkt te hebben (2FA) is in werkelijkheid door (externe) een aanvaller zo te omzeilen.

Voor SNS geldt precies hetzelfde, al noemen ze dan de combinatie van een username/password de 'Digicode': https://www.snsbank.nl/mijnsns/secure/login.html#

Goed, als je heel consequent die Identifier gebruikt ipv in te loggen met username/password, dan zou inloggen op een gehackt systeem (bijvoorbeeld waar een keylogger op draait) minder risico's met zich meebrengen, maar er is alsnog kan op een 'man in the browser' aanval waarbij de Identifier geen oplossing voor is. Alleen het systeem van de Rabobank is hier echt tegen opgewassen ivm het scannen van een unieke code.

Tot slot kun je bij ASN niet eens met een 'Identifier' inloggen, en kun je er alleen maar in met je username/password: https://www.asnbank.nl/onlinebankieren/secure/loginparticulier.html
26-10-2016, 14:41 door Anoniem
Door Anoniem:Bij Triodos (https://bankieren.triodos.nl/ib-seam/login.seam) kun je kiezen of je de Identifier gebruikt, maar in het 2e tabblad kun je alsnog inloggen met username en wachtwoord. Met andere woorden, de extra veiligheid die jij denkt te hebben (2FA) is in werkelijkheid door (externe) een aanvaller zo te omzeilen.

Voor SNS geldt precies hetzelfde, al noemen ze dan de combinatie van een username/password de 'Digicode': https://www.snsbank.nl/mijnsns/secure/login.html#
Ik ken alleen de methode van de SNS: via het inloggen dmv de Digicode kun je niet echt veel doen.

Het enige dat je darmee kunt doen is:
- Je rekeningoverzichten bekijken
- Een overschrijving doen van je spaarrekening naar je betaalrekeing (cq. tegenrekening) of andersom

Overschrijven van een betaalrekening naar een ANDERE rekening is met de Digicode (dus ilog +passweord) niet mogelijk.
En andere vormen van transacties of aanvragen (bijv. verhogen van limieten) kunnen daarmee evenmin.
Daarvoor heb je beslist de Identiefier nodig!

Echt onveilig is de Digicode daardoor niet, want indien iemand die code in handen weet te krijgen, is het enige dat ie ermee kan doen je gehele spaarbedrag naar je normale tegenrekeing overschrijven. Als ie daarvan dan nog geld wil bemachtigen, zou ie ook nog je pasje + pincode moeten hebben.

Dat pasje + pincode is bij de Rabo voldoende om je gehele spaarrekeing leeg te plunderen, bij de SNS komt daar dus toch meer bij kijken!
26-10-2016, 15:35 door Anoniem
Door Anoniem:
Door Anoniem:Bij Triodos (https://bankieren.triodos.nl/ib-seam/login.seam) kun je kiezen of je de Identifier gebruikt, maar in het 2e tabblad kun je alsnog inloggen met username en wachtwoord. Met andere woorden, de extra veiligheid die jij denkt te hebben (2FA) is in werkelijkheid door (externe) een aanvaller zo te omzeilen.

Dan moet je wel even goed kijken...
Het 2e tabblad biedt (met enkel username/password) alleen de mogelijkheid om geld van spaarrekening naar bijbehorende tegenrekening over te maken. Je kunt dus geen geld " wegsluizen" .
26-10-2016, 15:56 door Anoniem
14.44 anoniem: Ik ken alleen de methode van de SNS: via het inloggen dmv de Digicode kun je niet echt veel doen.
Zoals ik 24-10-2016, 16:09 dus ook al zei:
Dit is niet zo waar als het klinkt. Erg ongenuanceerd, en details maken hier een enorm verschil.
Kijk svp voor het complete verhaal op de website van SNS-bank of ASN-bank.

of:
https://forum.snsbank.nl/mijn-sns-sns-mobiel-bankieren-app-69/inloggen-digicode-veiligheid-hiervan-8101?resultpos=10
Ik vermoed dat het bij ASN weinig anders zal zijn, maar dat kan je vast wel ergens lezen of anders navragen.

Je bent volgens mij trouwens niet verpicht om een digicode te nemen, maar kunt ook kiezen voor alleen een digipas.
Dan kan dus niemand met een digicode inloggen.
Dat het in het scherm er bij staat, wil niet zeggen dat het ook voor iedereen werkt...
27-10-2016, 21:43 door Anoniem
Oké blijkbaar zat ik er naast van SNS, maar dat maakt het systeem nog niet sterker dan dat van de Rabobank zoals door iemand beweerd wordt. Immers, voor beiden systemen geldt dat je iets moet 'hebben' en iets moet 'weten'. Bij de SNS is dat je Identifier met een PIN, bij de Rabobank is dat je pinpas met een PIN. Cryptografisch verschillen deze systemen nogal, en ook daarop kun je weer inzoomen en concluderen dat beiden hun sterke en minder sterke kanten hebben. Echter durf ik wel te stellen dat in de basis beiden systemen even sterk zijn.

De zwakte van een login/password is, zoals bij SNS of ASN of ING of Triodos, ook al kun je geen transacties doen, is dat wel je privacy in het geding komt en de gevonden informatie in worst case tegen je gebruikt kunnen worden voor chantage (denk aan vaste klanten van casino of slijter) of op andere wijze schade kan toebrengen. Bij de Rabobank kan dit simpelweg niet, omdat er helemaal niet gewerkt wordt met een username/password.

Daarnaast is de sterke kant van de (nieuwe) Random Reader (of hoe dat ding tegenwoordig ook mag heten) is dat succesvolle man in the browser aanvallen tot een minimum gereduceerd zijn. Immers, laat het apparaat een samenvatting zien van de transactie voordat je die accordeert, iets wat Identifiers niet kunnen. Overigens heeft het ding batterijen, dus eenvoudig zelf te vervangen, iets wat bij Identifiers ook niet kan.
27-10-2016, 23:17 door Anoniem
Door Anoniem: Oké blijkbaar zat ik er naast van SNS, maar dat maakt het systeem nog niet sterker dan dat van de Rabobank zoals door iemand beweerd wordt. Immers, voor beiden systemen geldt dat je iets moet 'hebben' en iets moet 'weten'. Bij de SNS is dat je Identifier met een PIN, bij de Rabobank is dat je pinpas met een PIN.

De zwakte van een login/password is, zoals bij SNS of ASN of ING of Triodos, ook al kun je geen transacties doen, is dat wel je privacy in het geding komt en de gevonden informatie in worst case tegen je gebruikt kunnen worden voor chantage (denk aan vaste klanten van casino of slijter) of op andere wijze schade kan toebrengen. Bij de Rabobank kan dit simpelweg niet, omdat er helemaal niet gewerkt wordt met een username/password.

De grote makke van het systeem van de Rabobank (en ABN) is dat ALLE authenticatie hangt aan 1 enkel item: de pinpas.
Het komt vaak voor dat dieven in een supermarkt meekijken wat iemands pincode is en dan de pas weten te rollen
door een truukje ("u laat wat vallen"). Die mensen zijn dan in principe ALLES KWIJT want met die pas kan men eerst
de daglimiet pinnen, vervolgens inloggen en die daglimiet verhogen, geld overboeken van spaarrekening naar betaal
rekening en dat ook pinnen, of zelfs gewoon bedragen overboeken naar andere rekeningen. Allemaal met die ene
simpele diefstal. De slachtoffers zijn dan helemaal afhankelijk van de bank om nog wat terug te krijgen.

Dat probleem is er met die andere systemen die jij minder vindt dus niet. Want die hebben nog een andere factor,
zoals de unieke reader of een telefoon of TAN code blad, die je nodig hebt om transacties te doen of om pas limieten
te veranderen.

Jij denkt kennelijk dat je privacy zo superbelangrijk is, dus jij zit goed bij Rabobank, maar ik vind het zelf belangrijker
dat mijn saldo veilig is dus mij zul je daar niet als klant zien.
28-10-2016, 20:40 door Anoniem
Door Anoniem:
De grote makke van het systeem van de Rabobank (en ABN) is dat ALLE authenticatie hangt aan 1 enkel item: de pinpas.
Het komt vaak voor dat dieven in een supermarkt meekijken wat iemands pincode is en dan de pas weten te rollen
door een truukje ("u laat wat vallen"). Die mensen zijn dan in principe ALLES KWIJT want met die pas kan men eerst
de daglimiet pinnen, vervolgens inloggen en die daglimiet verhogen, geld overboeken van spaarrekening naar betaal
rekening en dat ook pinnen, of zelfs gewoon bedragen overboeken naar andere rekeningen. Allemaal met die ene
simpele diefstal. De slachtoffers zijn dan helemaal afhankelijk van de bank om nog wat terug te krijgen.

Dat probleem is er met die andere systemen die jij minder vindt dus niet. Want die hebben nog een andere factor,
zoals de unieke reader of een telefoon of TAN code blad, die je nodig hebt om transacties te doen of om pas limieten
te veranderen.

Dit heb je toch echt verkeerd: De authenticatie is gewoon 'puur' two factor. Factor één (wat je hebt) is de pinpas (met cryptografische geheimen), factor twee (wat je weet) is de pincode om die geheimen vrij te geven. Het enige verschil inderdaad is dat je normaliter niet met die Identifier op zak loopt, terwijl je je bankpas vrijwel altijd bij je hebt. Ik denk dat dat laatste overigens weer een trade-off is van gebruiksgemak versus veiligheid. Iemand zal in de praktijk gemiddeld sneller opmerken dat ie z'n bankpas kwijt is, dan dat ie z'n Identifier kwijt is (omdat die per saldo waarschijnlijk minder vaak gebruikt wordt).

Los van deze discussie, praat je nu echt op basis van een onderbuik gevoel met "het komt vaak voor dat dieven...". Volgens mij komt dat namelijk zelden voor. Zo'n stelling kun je alleen onderbouwen met cijfers, maar ik ken dergelijke rapportages met dat niveau van detail niet. Overigens is dat risico vrij eenvoudig te minimaliseren door je pincode af te schermen tijdens in het intoetsen. Immers kan men nooit bij de cryptografische geheimen van de bankpas als de pincode onbekend is. En zo kan ik er ook wel één ingooien: hoe vaak komt het wel niet voor dat (met name oudere mensen) hun pincode op een briefje niet in dezelfde portemonnee bewaren als de bankpas? Dat is nog altijd bij elke bank een risico. En hoe vaak zie je dan ook niet op programma's als opsporing verzocht dat bankpasdieven gewoon meerdere keren geld hebben opgenomen, en dus in feite helemaal niet de moeite nemen om online die paslimieten op te hogen?


Jij denkt kennelijk dat je privacy zo superbelangrijk is, dus jij zit goed bij Rabobank, maar ik vind het zelf belangrijker
dat mijn saldo veilig is dus mij zul je daar niet als klant zien.

Je hoeft het niet persoonlijk te maken hoor, nergens voor nodig. En overigens denk ik niet alleen dat privacy belangrijk is, ik vind privacy belangrijk. Daarnaast ter uwe informatie, ik ben klant bij een stuk of zeven banken waaronder een paar in het buitenland, dus ik ben echt geen Rabobank-only klant die perse dat systeem wil verdedigen.

Van al die systemen die ik heb gezien, vind ik persoonlijk die van de Rabobank wel het sterkste. Veel gebruiksgemak door de niet-unieke signeercodegenerator, maar anderzijds in veel detail te configureren om misbruik te voorkomen, en zoals gezegd kun je van elke transactie een alert krijgen. Ook al zou men de moeite nemen om de alerts online uit te schakelen: zelfs daar krijg je een e-mail van. Ik ben er van overtuigd dat als er fraude gepleegd zou worden met mijn Rabobank account, ik daar sneller en eerder lucht van krijg dan bij één van mijn andere bankrekeningen.

Nog een pro-tip: stal nooit je spaargeld bij de bank waarvan je de betaalrekening het meest gebruikt (of waarvan je de bankpas altijd bij je hebt). Dat voorkomt een scenario zoals je schetst, en sowieso krijg je toch vaak bijzonder weinig spaarrente bij de (Nederlandse) reguliere banken...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.