Tip: maak je linkjes aan te klikken met . Waarom zou je anoniem iets willen kopen ergens via internet? Moet toch bezorgd worden.

Toegeslagen verveling?

Tja, het is een luchtballonnetje hè?
En het staat in de telegraaf.
Meer nieuws over spannende nieuwe kastjes op dezelfde teletoet pagina nog wel.
http://www.telegraaf.nl/tv/digitaal/26904491/___Indrukwekkend_maar_loeiduur___.html

Of die andere kastjes nou veiliger zijn?
Nee niet per sé (#), in de eerste plaats gaat het om de veiligheid van je verbinding, daar begint het mee.
En die veiligheid is er niet als je op een openbare wifi zit (zonder extra maatregelen maar dan nog).
Te abstract?

Voorbeeldjes en leeslinkjes met wat meer diepgang dan dit soort teletoeter berichtjes:
https://decorrespondent.nl/3166/de-wifi-in-de-trein-is-volstrekt-onveilig-en-de-ns-doet-er-niets-aan/97373496-af07ccc1
De site trainwatch is trouwens down, jammer want het was heel illustratief.

Openbare wifi : wie shopt bij wie?
https://decorrespondent.nl/845/Dit-geef-je-allemaal-prijs-als-je-inlogt-op-een-openbaar-wifinetwerk/25988820-b2a600e1


# Al ben je met Apple heel algemeen gesteld over het algemeen beter af boven Windows, en dus zowaar nog ook nog goedkoper uit voor een keer ;), haha het kan verkeren.
En/maar een goedkoper iOS apparaat is op dit moment het allerveiligst om mee te internetbankieren als je de algemene os-en onderling vergelijkt.
Op een veilige verbinding dan en niet op een phishingpagina, dat stukje veiligheid zal je echt zelf moeten verzorgen.

Niet noodzakelijkerwijs.

Wat we m.i. al heel lang nodig hebben is een betrouwbaar kastje met:
1) een unieke en veilig gegenereerde private key (die dat kastje nooit verlaat);
2) een display waarop we kunnen zien "waar we mee akkoord gaan" (wat/ we digitaal ondertekenen).

Hier komen steeds meer initiatieven voor, zie bijv. [1].

Uitleg: een private key kun je beschouwen als een heel groot willekeurig getal dat niet te raden valt. Met een wiskundige truc kan de eigenaar aantonen over die private key te beschikken, zonder die private key zelf te delen met anderen. Wel moet hij een bijbehorende public key delen, maar uit die public key kun je private key herleiden. Zolang niemand anders over die private key beschikt kun je aantonen dat jij jij bent.

[1] http://www.metzdowd.com/pipermail/cryptography/2016-October/030645.html

Het is een beetje wild verhaal. Het 'kastje' waar over wordt gesproken is de 2factor zoals al bij vele banken bekend.

Het is een gevolg van de invoering van PSD2, zie bijvoorbeeld https://www.swift.com/insights/news/payment-service-directive-2-psd2_strong-customer-authentication

Bij rabo, abn en andere banken is er dus niet zo veel aan de hand (die hebben al een onafhankelijke 2e factor). ING zal het lastiger krijgen. Risk based payments mogen niet meer en eigenlijk is dat een slechte zaak, en de 2 factor verplichting wordt dan ingevoerd omdat een aantal landen hun bankzaken niet op orde hebben.

17:17 ??

@Erik,

Wie bepaalt wat voor kastje gebruikt wordt, en wat voor software er op draait ?
En als iemand nou niet meer het "recht" krijgt om het kastje te gebruiken ... etc. ?

Het is wel eenrichtingsverkeert: alleen de identiteit (en dus de betrouwbaarheid) van de (eventuele) klant zou hiermee worden vastgesteld.

Ik wil een kastje voor de webshops: eentje waarmee de betrouwbaarheid van de webshops kan worden bepaald.

Er zijn enorm veel onbetrouwbare en/of fake webshops, waar je wel kunt betalen maar niets ontvangt. Of waar je wel iets ontvangt maar het een webshop in China blijkt te zijn terwijl de gehele presentatie eruit zag alsof het een NL gevestigd bedrijf was. En je daardoor heel veel geld naar de invoerrechten kunt brengen. Of webshops die na terugsturen van goederen nooit meer iets van zich laten horen. Of die je creditkaart gegevens (als je op die manier betaalde) misbruiken voor andere doelen.

Juist daarvoor zou dat kastje (ook) moeten werken! Ter verificatie van de leveranciers.

17:17 hier. Wat dacht je van Edentifier (ABN), Rabo scanner, etc. Dat zijn allemaal 2 factor devices zoals in de PSD 2 worden vereist. Ingewikkelder dan dat is het niet. Dat is het 'kastje' waarover wordt gesproken.

Dus als je het kastje even 'leent' van een ander, dan ga je ook met zijn Private Key aan de haal?
De rillingen lopen mij nu al over de rug...

Het kastje doet toch niet bijzonders? De sleutel zit toch in de pasje die je in de kastje steekt?

https://www.veiligbankieren.nl/betaalmiddelen/mobiel-bankieren/ zegt "In Nederland zijn nog geen gevallen van misbruik van bank apps vastgesteld. Daarmee is mobiel bankieren met een bank app veilig en betrouwbaar. De banken doen hun uiterste best om dat in de toekomst ook zo te houden"

Misschien dat een kastje iets toe te voegen heeft voor banken buiten nederland, maar volgens mij valt de fraude in nederland wel mee, zeker in combinatie met ideal of paypal.

Laat mensen gewoon zelf verantwoordelijk zijn, zelf heb ik een yubikey met OTP en een app die compleet random gegenereerde wachtwoord invoert nadat ik op de otp knop heb geduwd.

Ze kunnen beter een kastje maken wat iemands IQ meet voordat men 100.000 euro gaat overmaken naar hun online nooitgeziene partner in Nigeria

Precies men geeft wel weer erg duidelijk aan er niks van te snappen!
De bedoeling is dat je aantoont dat je de legitieme houder van de creditcard bent als je afrekent.
Dit speelt in Nederland al nauwelijks omdat hier veel meer met iDEAL afgerekend wordt waar dit probleem allang is
opgelost (we hebben daar allang die 2nd factor authenticatie voor).
En degenen die zonodig privacy willen die hebben weer boter op hun hoofd, ik vind het helemaal niet nodig dat de
crimineel die mijn creditcard wil misbruiken privacy heeft, en als ik zelf betaal dan zit ik er ook niet mee dat de bank
mijn identiteit kan vaststellen want dat moesten ze toch al om van de juiste rekening af te schrijven.

Wil je nu iets kopen of niet. Zo ja dan is het bankrekening en bezorgadres nodig en zijn je gegevens bekend, dat is met of zonder zo'n e-identifier die de ank al gebruikt. Zo nee waar maak je je druk om?

Jij bepaalt welke leverancier je vertrouwt. Uitgangspunt is dat het kastje zelf geen internetconnectiviteit heeft.

Men kan inderdaad ook jouw paspoort innemen. Dat is voor mij geen aanleiding om dan maar geen nieuw paspoort aan te vragen zodra mijn huidige exemplaar verlopen is.

De facto representeert nu jouw e-mail account (en dus de devices die je gebruikt om dat account te benaderen, by default met het toegangswachtwoord opgeslagen op dat device) jouw identiteit. Daarnaast kunnen aanvallers die enkele gegevens van jou kennen (NAW, BSN en/of GebDat) en/of in jouw brievenbus hengelen, eenvoudig met jouw identiteit aan de haal.

Ik, maar ook marktpartijen, zien grote voordelen in betrouwbare digitale authenticatie. Natuurlijk wel op z'n minst een pincode op dat kastje (2FA).

Ik voorzie dat je voor een aantal accounts (buiten dat kastje) nog wel wachtwoorden zult willen blijven gebruiken, maar strikt genomen zijn zelfs die niet meer nodig: je gebruikt het kastje om aan te tonen dat jij jij bent. Meer dan (één van) jouw public key(s), al dan niet verpakt in een client certificaat, krijgt de wereld niet te zien. Middels challenge-response toon jij aan over de bijbehorende private key te beschikken.

Voor steeds meer toepassingen is nu je smartphone dat kastje, en dat vind ik een veel griezeliger idee.

@Rinjani: ik bedoelde https://sc4.us/hsm (te vinden via de link die ik eerder gaf)

Erik,

Dat kan een heel stuk goedkoper, daar heb je geen hsm voor nodig: https://www.yubico.com/products/yubikey-hardware/fido-u2f-security-key/

Daarnaast: de key verlaat je bankpas ook niet. Dat werkt uitstekend samen met raboscanner, E-dentifier en dergelijke. Helemaal geen nieuwe spullen nodig zoals ik al eerder betoogd heb.

PSD2 eist dat ook helemaal niet. De media gaan aan de haal met een verhaal over een kastje...

Knap dat ie iets teletoet kan noemen en tegelijkertijd hetzelfde gebrek aan rhetoriek toepast in dat laatste stuk. Amper ironisch meer te noemen...