Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Bank app en de spionage app

10-08-2023, 13:28 door waterlelie, 33 reacties
Laatst bijgewerkt: 10-08-2023, 13:31
We lezen steeds vaker over smartphones apps, waar code in is opgenomen waarmee derden het beheer over de smartphone van het slachtoffer krijgen. Ze kunnen nu al apps op de telefoon onzichtbaar voor de eigenaar uitvoeren lees ik. Nu heb ik de bank app eens op mijn telefoon gezet, en met slechts het invoeren van een pincode krijg ik het beheer over al mijn bankzaken.

Dan vraag ik mij af, of het nu al theoretisch mogelijk is, voor een andere (spionage) apps bijvoorbeeld om mijn toetsaanslagen (pincode) bank app vast te leggen, en vervolgens op de achtergrond de bank app te starten, en de pincode die de app heeft gekopieerd in te voeren, en daarmee het beheer te krijgen over al mijn bankzaken. Met dat horror scenario in mijn hoofd, heb ik toch maar weer besloten om de bank app te verwijderen.

Hoe realistisch is dat scenario nu eigenlijk..
Reacties (33)
10-08-2023, 13:55 door Anoniem
Het vastleggen van toetsaanslagen is mogelijk; hoe makkelijk het is om een app in de achtergrond op te starten en daarmee interactie uit te voeren (zonder dat de gebruiker het merkt) weet ik niet, daar zou je iemand met weer kennis van zaken iets over moeten vertellen.
Wat naar mijn idee een groter risico is, is dat pincodes en wachtwoorden naar een server worden gestuurd zodat een oplichter met zijn eigen pc of mobieltje jouw rekening kan "beheren".
10-08-2023, 14:00 door Anoniem
Door waterlelie: We lezen steeds vaker over smartphones apps, waar code in is opgenomen waarmee derden het beheer over de smartphone van het slachtoffer krijgen. Ze kunnen nu al apps op de telefoon onzichtbaar voor de eigenaar uitvoeren lees ik. Nu heb ik de bank app eens op mijn telefoon gezet, en met slechts het invoeren van een pincode krijg ik het beheer over al mijn bankzaken.

Dan vraag ik mij af, of het nu al theoretisch mogelijk is, voor een andere (spionage) apps bijvoorbeeld om mijn toetsaanslagen (pincode) bank app vast te leggen, en vervolgens op de achtergrond de bank app te starten, en de pincode die de app heeft gekopieerd in te voeren, en daarmee het beheer te krijgen over al mijn bankzaken. Met dat horror scenario in mijn hoofd, heb ik toch maar weer besloten om de bank app te verwijderen.

Hoe realistisch is dat scenario nu eigenlijk..

Niet zo heel erg realistisch, zeker niet als je niet allerlei vage apps , jailbreaks en noem maar op op je telefoon zet.

Kijk naar berichten hier, of bank statements op welke manieren fraude nu ECHT gebeurt, en al die manieren hebben niks met diepe ubertechnische hacks te maken .
Alleen technerds vinden vooral technische hacks leuks en gaan er eindeloos over zitten oreren.


Dat is het nadeel van op dit soort fora ( en gezelschappen) lezen, en een tikje paranoide zijn - erg kleine kansen met veel mitsen en maren lijken realistische risico's.
Zelfde als hypochonders die naar TV shows (House) kijken voor heel erg obscure ziekten en dan denken dat zij dat vast ook hebben.
Ga kijken naar de lockpicking lawyer op youtube, en zenuwachtig zitten zijn over mensen die zonder braak in 20 seconden je huis in komen . Ook dat is niet manier waarop ingebroken wordt.


Ben je nog zenuwachtiger , neem dan maar een tweede telefoontje waar je _alleen maar_ je bankzaken (en je DigiD etc) mee doet , en de rest van je ge-app op je normale telefoon.
10-08-2023, 14:03 door Anoniem
Gewoon eset smartphone beveiliging voor 10euro per jaar en voor5 aparaten klaar is zeer goed mijn ervaring al it.r
10-08-2023, 14:43 door Anoniem
Tenzij de app zelf is gehaald van een verkeerde bron is die kans minimaal.
De meeste apps zijn niks meer dan een grafisch schilletje om een webbrowser implementatie niet echte apps.
Er moet een actieve exploit bestaan die het uitlezen van de clipboard functie mogelijk maakt in niet versleutelde vorm.
Die exploits komen en gaan maar zijn vaak heel snel opgelost. Plus als ze er al zijn moet er een methode op je telefoon aanwezig zijn voor exfiltratie.

Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.
10-08-2023, 15:42 door Anoniem
Nee dat is in de praktijk niet mogelijk bij een telefoon met apps. "theoretisch" zal het misschien wel op een of andere manier kunnen, maar een telefoon OS is zo gemaakt dat alle apps onafhankelijk zijn en niet de ene ap iets bij de andere kan intikken.
Dat risico is veel groter wanneer je op een PC de bankzaken regelt via een browser, dan kunnen toetsenbord meekijk en simulatie trojans wel vanalles doen.
Uiteraard moet je dan nog steeds je transacties goedkeuren via de 2nd factor oplossing die je bank je geeft, en daarbij zie je dan ook dat je een samenvatting van je transactie ziet die je moet vergelijken met wat je wilde doen om zeker te weten dat niet een of andere trojan dat stiekem heeft aangepast.
10-08-2023, 15:44 door Anoniem
Door waterlelie: We lezen steeds vaker over smartphones apps, waar code in is opgenomen waarmee derden het beheer over de smartphone van het slachtoffer krijgen. Ze kunnen nu al apps op de telefoon onzichtbaar voor de eigenaar uitvoeren lees ik. Nu heb ik de bank app eens op mijn telefoon gezet, en met slechts het invoeren van een pincode krijg ik het beheer over al mijn bankzaken.

Dan vraag ik mij af, of het nu al theoretisch mogelijk is, voor een andere (spionage) apps bijvoorbeeld om mijn toetsaanslagen (pincode) bank app vast te leggen, en vervolgens op de achtergrond de bank app te starten, en de pincode die de app heeft gekopieerd in te voeren, en daarmee het beheer te krijgen over al mijn bankzaken. Met dat horror scenario in mijn hoofd, heb ik toch maar weer besloten om de bank app te verwijderen.

Hoe realistisch is dat scenario nu eigenlijk..
Vliegen is ook veilig, maar realistisch gaat het meestal 1 of 2 keer per jaar fout.

Ik zou eerder je zorgen gaan maken on andere dingen. Zoals dat je zomaar door een omvallende boom kan overlijden.
Of dat je tijdens het trap lopen in eens struikelt en naar beneden valt.
Of dat je zomaar overvallen wordt op straat.
Je huis ingebroken wordt.

|Veel meer risico's om je zorgen over te maken, dan deze hack aanval. Hij bestaat en is mogelijk. Maar voor 99% als je gewoon niets vreemds doet met je telefoon, is er niets aan de hand.

Maak je zorgen om veel hogere risico's die in je leven bestaan.
10-08-2023, 15:58 door Anoniem
Als je je beperkt tot standaard apps, en vooral niet gaat side-loaden dan is het risico ongeveer nul. Laat je niet bang maken. Er zijn additionele maatregelen genomen in de meeste bank apps waardoor ze niet zo maar wat met een andere telefoon wat kunnen gaan doen tenzij een exacte kloon wordt gemaakt (en dat kan dan weer heel lastig). De telefoon is gefingerprint als bescherming.
10-08-2023, 16:19 door Anoniem
Door waterlelie: We lezen steeds vaker over smartphones apps, waar code in is opgenomen waarmee derden het beheer over de smartphone van het slachtoffer krijgen. Ze kunnen nu al apps op de telefoon onzichtbaar voor de eigenaar uitvoeren lees ik

Wat zijn je bronnen? Als een app "beheer" over je smartphone wilt hebben dan zal die gebruiker toch echt zelf allemaal permissies moeten toestaan, genoeg rode vlaggen negeren voordat het zover is.

Als je een app een accessibility-provider maakt kan deze in principe acties uitvoeren en zien wat er op het scherm staat (tot op een bepaald niveau). Interessant leesvoer hierover: https://www.guardsquare.com/blog/protecting-against-android-accessibility-services-threats

Door Anoniem: Er moet een actieve exploit bestaan die het uitlezen van de clipboard functie mogelijk maakt in niet versleutelde vorm

Wat? Ik krijg hoofdpijn bij het lezen van deze zin? Je gebruikt nu gewoon allemaal fancy woorden om slim over te komen denk ik.

Versleutelde vorm?? Je weet dat elke app op je telefoon het klembord gewoon uit kan lezen he? Dat er niks in een of andere versleutelde vorm is opgeslagen?


Ik krijg soms een beetje hoofdpijn van dit forum, maar blijf het toch lezen omdat het bijzonder is wat voor mensen er rondlopen...
10-08-2023, 16:23 door Anoniem
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
10-08-2023, 17:08 door majortom
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.
10-08-2023, 17:10 door Anoniem
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Gaat hier al vanaf 1996 goed.
10-08-2023, 18:23 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Is gewoon een risico afweging. Het risico is momenteel gewoon heel laag, maar nooit 0%.
11-08-2023, 01:13 door Anoniem
Door Anoniem:
Door waterlelie: We lezen steeds vaker over smartphones apps, waar code in is opgenomen waarmee derden het beheer over de smartphone van het slachtoffer krijgen. Ze kunnen nu al apps op de telefoon onzichtbaar voor de eigenaar uitvoeren lees ik

Wat zijn je bronnen? Als een app "beheer" over je smartphone wilt hebben dan zal die gebruiker toch echt zelf allemaal permissies moeten toestaan, genoeg rode vlaggen negeren voordat het zover is.

Als je een app een accessibility-provider maakt kan deze in principe acties uitvoeren en zien wat er op het scherm staat (tot op een bepaald niveau). Interessant leesvoer hierover: https://www.guardsquare.com/blog/protecting-against-android-accessibility-services-threats

Door Anoniem: Er moet een actieve exploit bestaan die het uitlezen van de clipboard functie mogelijk maakt in niet versleutelde vorm

Wat? Ik krijg hoofdpijn bij het lezen van deze zin? Je gebruikt nu gewoon allemaal fancy woorden om slim over te komen denk ik.

Versleutelde vorm?? Je weet dat elke app op je telefoon het klembord gewoon uit kan lezen he? Dat er niks in een of andere versleutelde vorm is opgeslagen?


Ik krijg soms een beetje hoofdpijn van dit forum, maar blijf het toch lezen omdat het bijzonder is wat voor mensen er rondlopen...
Gaat het al beter met je hoofdpijn?
Ik ben geen App developer en hoewel er natuurlijk zero-days in bijvoorbeeld iOS zitten zien we toch ook ontwikkelingen bij het copy-pasten die dat meer veilig maken.
Wat mij verder opvalt is dat de specifieke bijzonderheden per OS hierboven weinig worden gemeld. Zou wel iets toegespitsere antwoorden mogen worden geplaatst.
https://www.macrumors.com/2021/06/08/ios-15-secure-paste/
12-08-2023, 13:26 door Anoniem
Dus Eset op je Android is ook gewoon niet nodig? Of wel
Wie kan daar iets ZINNIGS over zeggen???
14-08-2023, 07:12 door Anoniem
Beste beveiliging is niet bankappen op je mobieltje.
Je zult dan in de toekomst wel wat prijsvoordeeltjes missen,
want elke toko weet graag alles van je tot aan je schoenmaat RFID bijv.

We zijn nu eenmaal productieve assets voor Mr. Grootgraai & co.
Zo niet worden we 'uitgefaseerd'
Ons aller voorland.

#webproxy
14-08-2023, 15:05 door Anoniem
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt

Ik begrijp dat de "app van de bank" een extra veiligheid heeft ingebouwd, omdat deze uitsluitend met de servers van de bank kan communiceren, waardoor een "Man in the middle attack" met een nagemaakte bank-website niet meer mogelijk is. Internetbankieren via een browser vereist controle van het certificaat van de bank waarmee je verbonden bent, en in het geval van een "Man in the middle attack" heeft een valse bank-website niet het juiste certificaat.
Als iedereen die via een browser bankiert het bank-certificaat zou controleren zou een smartphone-app qua veiligheid geen voordelen bieden. Maar ik vind de afhankelijkheid van een enkel knoopcelletje in het "inlogtoken" dat niet vervangen kan worden, en de organisatie van de distributie van de "inlogtokens" voor verbetering vatbaar.

Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?
14-08-2023, 16:48 door Anoniem
Door Anoniem:
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt

Ik begrijp dat de "app van de bank" een extra veiligheid heeft ingebouwd, omdat deze uitsluitend met de servers van de bank kan communiceren, waardoor een "Man in the middle attack" met een nagemaakte bank-website niet meer mogelijk is. Internetbankieren via een browser vereist controle van het certificaat van de bank waarmee je verbonden bent, en in het geval van een "Man in the middle attack" heeft een valse bank-website niet het juiste certificaat.
Als iedereen die via een browser bankiert het bank-certificaat zou controleren zou een smartphone-app qua veiligheid geen voordelen bieden. Maar ik vind de afhankelijkheid van een enkel knoopcelletje in het "inlogtoken" dat niet vervangen kan worden, en de organisatie van de distributie van de "inlogtokens" voor verbetering vatbaar.

Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?

Je kunt gewoon op je PC inloggen met gebruikersnaam en wachtwoord en daarna moet je via de App op je smartphone goedkeuring geven, althans bij ING kan dat
14-08-2023, 17:11 door Anoniem
Door Anoniem:
Door Anoniem:
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt

Ik begrijp dat de "app van de bank" een extra veiligheid heeft ingebouwd, omdat deze uitsluitend met de servers van de bank kan communiceren, waardoor een "Man in the middle attack" met een nagemaakte bank-website niet meer mogelijk is. Internetbankieren via een browser vereist controle van het certificaat van de bank waarmee je verbonden bent, en in het geval van een "Man in the middle attack" heeft een valse bank-website niet het juiste certificaat.
Als iedereen die via een browser bankiert het bank-certificaat zou controleren zou een smartphone-app qua veiligheid geen voordelen bieden. Maar ik vind de afhankelijkheid van een enkel knoopcelletje in het "inlogtoken" dat niet vervangen kan worden, en de organisatie van de distributie van de "inlogtokens" voor verbetering vatbaar.

Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?

Je kunt gewoon op je PC inloggen met gebruikersnaam en wachtwoord en daarna moet je via de App op je smartphone goedkeuring geven, althans bij ING kan dat
Maar ze gaan er dan van uit dat je een smartphone hebt. Een enorme blunder. Als ING (of welke bank dan ook) de mogelijkheid om te bankieren met een pc in stand wil houden dan moet dat volledig zonder smartphone kunnen.
14-08-2023, 17:35 door majortom
Door Anoniem:
Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt
SNS/Regiobank/ASN is inderdaad van plan dit uit te faseren. Daar komen de volgende mogelijkheden voor in de plaats (https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-doet-het-niet-meer.html): inloggen met de app of inloggen met een browsercode (waarbij mijn browserinstellingen/plugins zodanig zijn dat dat bij mij niet beschikbaar is). Dus als je geen app hebt (of niet kan/wil hebben) dan kun je alleen internetbankieren met de browsercode (waarmee je slechts 5000 EUR/dag kan overmaken). Deze gebruikt cookies (aangezien ik werk met een disposable VM worden die niet permanent opgeslagen) die samen met de gekozen code toegang geeft. De aanmelding van die browsercode moet je overigens bevestigen met de digipass (die je niet meer hebt) of je bankpas (hoe dan?)

Overigens wordt de digipass door de bank als veiliger oplossing gezien dan de app, gezien de maximale limieten die er voor de verschllende inlogmiddelen gelden (https://www.snsbank.nl/particulier/betalen/service/daglimiet-hoeveel-kun-je-per-dag-overboeken.html).

ABN Amro wil de e-dentifier inderdaad ook uitfaseren; daar werd eind vorig jaar actief mee gedreigd wanneer je inlogde op de site, maar dat is weer verdwenen (de klantenservice gaf aan dat dit nog enige jaren kon duren). Volgens mij hebben ze daar nog last van een kip-ei probleem, aangezien je de e-dentifier nodig hebt om de app te activeren (https://www.abnamro.nl/nl/prive/speciaal-voor/senioren/online-bankieren/handleiding-app/eerste-keer-gebruiken.html).

[...]
Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.
Je kunt dus nog steeds werken op de PC, echter maken de banken het steeds lastiger om dit te kunnen doen (zeker als je geen Google of Apple phone hebt).

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?
Nee, dat gaat niet werken. TOTP is een heel ander protocol dan de proprietary protocollen die de bank gebruikt. Ook moet je bij TOTP bij het onboarden een shared secret uitwisselen: dit ondersteunen de banken niet.
15-08-2023, 01:50 door Anoniem
Door Anoniem:
Maar ze gaan er dan van uit dat je een smartphone hebt. Een enorme blunder. Als ING (of welke bank dan ook) de mogelijkheid om te bankieren met een pc in stand wil houden dan moet dat volledig zonder smartphone kunnen.

Waarom denk je nou dat bankieren met een desktop persé _helemaal zonder_ een smartphone moet kunnen , of dat dat wenselijk is , of het doel is ?

Er is best wat te zeggen voor het feit dat een groot display (en zicht op allerlei andere data - spreadsheets, rekeningen) voor sommige bankier zaken erg handig is .
Om die reden (ook) de website aan bieden kan dan een prima oplossing zijn - met daarbij alle authenticatie/transactie bevestiging op een (veel) veiliger platform zoals een smartphone .
Of , in het geval van ING , de optie van een calculator-device met kleuren-QR scanner .
15-08-2023, 08:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt

Ik begrijp dat de "app van de bank" een extra veiligheid heeft ingebouwd, omdat deze uitsluitend met de servers van de bank kan communiceren, waardoor een "Man in the middle attack" met een nagemaakte bank-website niet meer mogelijk is. Internetbankieren via een browser vereist controle van het certificaat van de bank waarmee je verbonden bent, en in het geval van een "Man in the middle attack" heeft een valse bank-website niet het juiste certificaat.
Als iedereen die via een browser bankiert het bank-certificaat zou controleren zou een smartphone-app qua veiligheid geen voordelen bieden. Maar ik vind de afhankelijkheid van een enkel knoopcelletje in het "inlogtoken" dat niet vervangen kan worden, en de organisatie van de distributie van de "inlogtokens" voor verbetering vatbaar.

Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?

Je kunt gewoon op je PC inloggen met gebruikersnaam en wachtwoord en daarna moet je via de App op je smartphone goedkeuring geven, althans bij ING kan dat
Maar ze gaan er dan van uit dat je een smartphone hebt. Een enorme blunder. Als ING (of welke bank dan ook) de mogelijkheid om te bankieren met een pc in stand wil houden dan moet dat volledig zonder smartphone kunnen.

Nee, het kan ook met een fysiek apparaatje, ben even de naam kwijt, maar die geeft dan een code , dus zonder smartphone.
Is dus tco iets positiever dan gedacht?gewoon even bellen met ING : ik heb geen smartphone zeggen
15-08-2023, 09:29 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door majortom:
Door Anoniem:
Door Anoniem:
[..]
Dat gezegd hebbende is het natuurlijk vele malen slechter dan een goede OTP, MFA oplossing mits dit gebeurt via losse hardware. Ik zelf blijf erbij om via de reguliere browser en een offline token te werken.

Makkelijker nee veiliger absoluut mits niemand schouder surft.

Veiliger is absoluut niet - als 'OS platform' wint een smartphone het met gemak van een gemiddelde desktop .
Je moet heel veel werk doen, en een behoorlijk technerd zijn om een desktop een enigzins vergelijkbaar veiligheids niveau te geven.

Je externe hardware token is _waardeloos_ wanneer je alleen maar jouw inlog of transactie bevestigt , terwijl onder water de hele transactie iets anders gemaakt is dan hetgeen jij invoerde en teruggekoppeld zag op je browser.

Gewoon een browser op gewoon een PC/laptop met gewoon een gebruiker hebben gemiddeld een heel matig veiligheids (en controle) niveau .
Mmm, https://www.security.nl/posting/788788/Nederlandse+bank-apps+doelwit+van+volautomatische+Android-malware. Hoe meer gebruik gemaakt gaat worden van apps op telefoons hiervoor, hoe vaker deze het doelwit van hackers zullen worden: deze zullen hun aanval verplaatsen van PC naar phone. En onmogelijk is het niet, ook niet bij officieel in de appstores gehoste apps, zie https://www.security.nl/posting/806006/Potentieel+schadelijke+apps+in+Play+Store+honderden+miljoenen+keren+gedownload

Ik denk dat ik met mijn QubesOS en disposable VMs waarmee ik internetbankier toch net wat veiliger af ben. Toegegeven, niet een gemiddelde gebruiker. Maar ja, voor mij is het alternatief een bankapp downloaden uit een niet officiele store op de telefoon: dat lijkt me dan toch een slag onveiliger.

Internetbankieren via een browser kan toch uitsluitend in combinatie met een 2FA, bijvoorbeeld een "inlogtoken"? Bijvoorbeeld de Digipas van de SNS bank: https://www.snsbank.nl/particulier/service/probleem-oplossen-digipas/mijn-digipas-geeft-een-melding.html
(De batterij van je digipas is bijna leeg.) De digipas wordt langzaam maar zeker vervangen door andere inlogmiddelen, zoals de SNS Mobiel Bankieren app en QR-code. Klanten krijgen al een tijdje geen digipas meer en ook als bestaande klant kun je alleen in bepaalde gevallen een nieuwe digipas aanvragen.
Deze 2FA methode met een Digipas ("inlogtoken") wordt dus uitgefaseerd, en het enige alternatief is internetbankieren op een smartphone met de "app van de bank"? Dit is ook van toepassing op de "inlogtokens" van veel andere banken:
https://www.consumentenbond.nl/betaalrekening/abn-amro-e.dentifier-verdwijnt

Ik begrijp dat de "app van de bank" een extra veiligheid heeft ingebouwd, omdat deze uitsluitend met de servers van de bank kan communiceren, waardoor een "Man in the middle attack" met een nagemaakte bank-website niet meer mogelijk is. Internetbankieren via een browser vereist controle van het certificaat van de bank waarmee je verbonden bent, en in het geval van een "Man in the middle attack" heeft een valse bank-website niet het juiste certificaat.
Als iedereen die via een browser bankiert het bank-certificaat zou controleren zou een smartphone-app qua veiligheid geen voordelen bieden. Maar ik vind de afhankelijkheid van een enkel knoopcelletje in het "inlogtoken" dat niet vervangen kan worden, en de organisatie van de distributie van de "inlogtokens" voor verbetering vatbaar.

Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?

Je kunt gewoon op je PC inloggen met gebruikersnaam en wachtwoord en daarna moet je via de App op je smartphone goedkeuring geven, althans bij ING kan dat
Maar ze gaan er dan van uit dat je een smartphone hebt. Een enorme blunder. Als ING (of welke bank dan ook) de mogelijkheid om te bankieren met een pc in stand wil houden dan moet dat volledig zonder smartphone kunnen.

Nee, het kan ook met een fysiek apparaatje, ben even de naam kwijt, maar die geeft dan een code , dus zonder smartphone.
Is dus tco iets positiever dan gedacht?gewoon even bellen met ING : ik heb geen smartphone zeggen
Dat heet gewoon een scanner.
15-08-2023, 11:05 door Anoniem
Het dwingen/duwen van gebruikers richting de bank-app door de banken is volgens mij slechts deels ingegeven door kosten en veiligheid.
Een belangrijke reden is de verantwoordelijkheid bij schade:
- Wanneer ik bankier via een browser en inlog middels een, door de bank beschikbaar gestelde, identifier ligt de volledige verantwoordelijkheid van de technische infrastructuur bij de bank. De gebruiker moet alleen geen domme dingen doen (zoals de pincode van zijn pas aan anderen geven of onbekenden toegang geven tot zijn computer).
- De gebruikersvoorwaarden van de bankapp leggen een deel van die verantwoordelijkheden bij de gebruiker waardoor de bank, bij schade door misbruik, vaker de schuld bij de gebruiker kan neerleggen en wervolgens niet voor de schade opdraait.

Lees voor de grap eens artikel 3 van de algemene voorwaarden van Knab (over het gebruik van de Knab App: https://www.knab.nl/voorwaarden

Artikel 3.2, eerste punt: "• Het gebruik van de Knab App is op eigen risico;" (wtf! De bank legt je op hun app te gebruiken, maar gebruik is wel op eigen risico)

Artikel 3.3, eerste en tweede punt: "• We doen ons uiterste best om de Knab App goed te laten functioneren. We kunnen
alleen niet garanderen dat de Knab App nooit onderbrekingen, fouten of virussen bevat. We kunnen ook niet garanderen dat de informatie in de Knab App altijd volledig, juist en up-to-date is;
• Dit betekent dat wij niet verantwoordelijk zijn voor schade die jij lijdt door het juiste of onjuiste gebruik van de Knab App. Dit geldt dus ook in het geval van onderbrekingen, fouten of virussen in de Knab App;"
(wtf! Je wordt dus verplicht hun app te gebruiken, maar schade door slechte software kan niet op de maker [de bank] worden verhaald).
15-08-2023, 11:34 door Anoniem
Door Anoniem:
[..]
Maar internetbankieren op een klein smartphone-schermpje is niet altijd ideaal, en voor een groter scherm met een toetsenbord heb je die uitgefaseerde Digipas (of de "inlogtoken" / hardware-equivalent van andere banken) nodig.

Ergens heb ik gelezen, misschien hier op security.nl, dat iemand TOTP (timed one time pass) gebruikte van bijvoorbeeld KeepassSX, of in ieder geval overwoog dat te gaan gebruiken. Zoals bijvoorbeeld in deze link is beschreven:
https://www.linux.org/threads/in-depth-tutorial-how-to-set-up-2fa-totp-with-keepassxc-aegis-and-authy.36577/

Maar functioneert TOTP ook als 2FA methode voor bankzaken op de PC?? Ik heb (nog) geen ervaring met de "app van de bank", en mijn Digipass heeft op enig moment toch ook een lege batterij. Is TOTP dan een alternatief?

Waar je niet aan denkt - en de banken allang wel - is dat alleen maar de gebruiker authenticeren helemaal NIET GENOEG is.

Dat _jij_ , bewezen via OTP de inlog doet is heel aardig . Maar het bredere probleem is - de bank krijgt een overboekingsopdracht .
En wat zeker moet zijn is dat wat jij _bedacht_ hebt te doen , en de werkelijke opdracht die de bank krijgt , hetzelfde zijn.

En het probleem (niet verzonnen, maar dat is er echt gebeurde) van een desktop PC met browser en digitoken is dat malware op de PC de betalingsopdrachten / bestemmingen veranderde , en jij met je veilige OTP token (of TAN code) dus iets heel anders bevestigde dan je dacht .
Het webverkeer omleiden via een malicious proxy kan hetzelfde doen , als je naar de verkeerde (typefout-URL) ging, of gewoon de certificaat waarschuwingen wegklikte .

Zo'n OTP , digitoken, TAN-code lijst is helemaal prima als het invoer device betrouwbaar is . En no shit, de gemiddelde PC is dat niet .

Enter SMS - dan stuurt de bank via SMS wel bedrag waar naar toe gaat , en een bevestigings code.
Mensen lezen dat niet - heel ander bedrag dan ze ingetikt hadden, andere rekening, en toch maar bevestigen .
Dat staat nog los van de wat obscuurdere technische risico's .

Heel ingewikkelde dingen (rabo runner) dat je een deel van bedrag of rekeningnummer moest invullen (als controle dat je JOUW opdracht bevestigde) - mensen snappen dat echt niet, dus de malware genereert een scherm 'dit moet je intikken' en ze doen het, en bevestigen daarmee een malware-overboeking in plaats van wat ze dachten (en op hun pc scherm zagen) .

In de basis - de persoon betrouwbaar authenticeren is nuttig (en ook nodig) - maar je moet ook zorgen dat diens (betaal)opdracht onveranderd aankomt cq na ontvangst betrouwbaar teruggekoppeld wordt "dit hebben we ontvangen , weet je zeker dat dit is wat je gestuurd hebt" .

En de gemiddelde PC is gewoon niet zo betrouwbaar waar een smartphone dat gemiddeld wel is.
15-08-2023, 18:42 door Anoniem
Door Anoniem: Heel ingewikkelde dingen (rabo runner)
Nooit van gehoord. Bedoel je deze?
https://rabo-tricycles.com/en/runner ;-)

mensen snappen dat echt niet, dus de malware genereert een scherm 'dit moet je intikken' en ze doen het, en bevestigen daarmee een malware-overboeking in plaats van wat ze dachten (en op hun pc scherm zagen) .
Gaat een smartphone helpen tegen mensen die doen wat de boef zegt dat ze moeten doen en de betekenis negeren van wat ze in moeten tikken of wat er op hun scherm staat? Ik zou verwachten dat die precies even onnadenkend op hun smartphone gaan doen wat de boef instrueert en daarbij dezelfde dingen negeren.

En de gemiddelde PC is gewoon niet zo betrouwbaar waar een smartphone dat gemiddeld wel is.
In bepaalde opzichten die voor bankieren inderdaad belangrijk zijn, maar: hoe goed is de support van de verschillende fabrikanten op de verschillende modellen? Met name de telefoons die niet schreeuwend duur zijn? Hoe lang ontvang je updates? Zijn de OS- en de hardwareleverancier niet druk aan het datagraaien? Hoe weet ik welke apps dat wel of niet doen, als de makers van apps het zelf niet altijd overzien omdat ze een library gebruiken waarvan op een gegeven moment blijkt dat die data graait? Hoe lang gaat een batterij mee die je niet kan verwisselen? Hoe betrouwbaar is de vingerafdruklezer op een betaalbaar toestel eigenlijk, kan ik daar mijn bankzaken en DigiD wel aan toevertrouwen?

Het is heel gezellig en leuk dat banken smartphone-plaforms beoordelen vanuit wat voor hun belangrijk is, maar dat is niet het enige wat telt bij het aanschaffen van zo'n ding.

Ik zie aankomen dat ik, vanwege banken en DigiD, op een gegeven moment aan een smartphone zal moeten geloven. Ik kijk dus al af en toe rond met het soort vragen in mijn hoofd dat ik hierboven opschreef. Ik kan niet zeggen dat ik veel wijzer word, zowat de hele wereld lijkt niet op dit soort vragen gericht te zijn. Alleen OS'en die uitdrukkelijk gemaakt zijn om privacyvriendelijk te zijn geven een beter beeld, maar daar lijkt het onzeker te zijn of precies de apps waarvoor ik aan een smartphone zou beginnen het wel doen.

Enthousiast word ik er niet van tot nu toe. Bij mijn desktopsysteem (Debian) overzie ik aanzienlijk beter waar ik aan toe ben.
15-08-2023, 23:29 door Anoniem
Door Anoniem:
Door Anoniem: Heel ingewikkelde dingen (rabo runner)
Nooit van gehoord. Bedoel je deze?
https://rabo-tricycles.com/en/runner ;-)

Oeps. Was de Rabo Random Reader.
Mixup met random runner (gokkast).


mensen snappen dat echt niet, dus de malware genereert een scherm 'dit moet je intikken' en ze doen het, en bevestigen daarmee een malware-overboeking in plaats van wat ze dachten (en op hun pc scherm zagen) .
Gaat een smartphone helpen tegen mensen die doen wat de boef zegt dat ze moeten doen en de betekenis negeren van wat ze in moeten tikken of wat er op hun scherm staat? Ik zou verwachten dat die precies even onnadenkend op hun smartphone gaan doen wat de boef instrueert en daarbij dezelfde dingen negeren.

Het probleem van random reader was dat alle informatie over de transactie door de gebruiker via een numeriek toetsenbord meegegeven moest worden.

Dat is _extreem_ laag bitrate kanaal . Een handvol cijfers is het enige wat de reader vertelt kan worden over de transactie zoals de gebruiker die bedacht heeft om mee te nemen in de checksum berekening.

De huidige generatie vraagt om het bedrag dat je overmaakt 'alleen cijfers voor de komma' .
https://www.rabobank.nl/toegankelijkheid/random-reader-comfort

Er is dus zelfs geen mogelijkheid om de (juiste) bestemming terug te koppelen.

Als je op een platgehackte PC zit te werken moet je als leek snappen dat dat hele gedoe met pincodes , cijfers voor de komma en controlegetallen het enige is dat (nog) voorkomt dat er een ander bedrag overgeboekt wordt .

De rabo scanner heeft iets meer mogelijkheden, omdat daar de informatie over de aanstaande transactie via een kleuren-QR code gelezen wordt (in plaats van een handjevol numerieke toetsen en wat je mensen kunt vragen om over te typen) en dan op de scanner laat zijn wat er (werkelijk) overgeboekt gaat worden .
En voor _die_ transactie genereert de scanner een werkende bevestigings code .


Een smartphone kan gewoon de hele transactie laten zien - bedrag, bestemming .


En de gemiddelde PC is gewoon niet zo betrouwbaar waar een smartphone dat gemiddeld wel is.
In bepaalde opzichten die voor bankieren inderdaad belangrijk zijn, maar: hoe goed is de support van de verschillende fabrikanten op de verschillende modellen? Met name de telefoons die niet schreeuwend duur zijn? Hoe lang ontvang je updates? Zijn de OS- en de hardwareleverancier niet druk aan het datagraaien? Hoe weet ik welke apps dat wel of niet doen, als de makers van apps het zelf niet altijd overzien omdat ze een library gebruiken waarvan op een gegeven moment blijkt dat die data graait? Hoe lang gaat een batterij mee die je niet kan verwisselen? Hoe betrouwbaar is de vingerafdruklezer op een betaalbaar toestel eigenlijk, kan ik daar mijn bankzaken en DigiD wel aan toevertrouwen?

Zet jezelf eens op de stoel van security architect van een bank, en vraag je af wat is het beste dat je voor AL JE KLANTEN werkbaar kunt krijgen , niet alleen voor paranoide nerds met een Qubes VM en daarin OpenBSD .

Dan wint "smartphone" gewoon met gemak .

Ben je heel zenuwachtig dan koop je maar een (extra) smartphone waar je niks anders opzet dan je bank en DigiD, en die leg je in de la als je klaar bent.
Staat ie uit is er ook niks te data graaien .



Het is heel gezellig en leuk dat banken smartphone-plaforms beoordelen vanuit wat voor hun belangrijk is, maar dat is niet het enige wat telt bij het aanschaffen van zo'n ding.

Ik zie aankomen dat ik, vanwege banken en DigiD, op een gegeven moment aan een smartphone zal moeten geloven. Ik kijk dus al af en toe rond met het soort vragen in mijn hoofd dat ik hierboven opschreef. Ik kan niet zeggen dat ik veel wijzer word, zowat de hele wereld lijkt niet op dit soort vragen gericht te zijn. Alleen OS'en die uitdrukkelijk gemaakt zijn om privacyvriendelijk te zijn geven een beter beeld, maar daar lijkt het onzeker te zijn of precies de apps waarvoor ik aan een smartphone zou beginnen het wel doen.

Enthousiast word ik er niet van tot nu toe. Bij mijn desktopsysteem (Debian) overzie ik aanzienlijk beter waar ik aan toe ben.
16-08-2023, 10:15 door majortom - Bijgewerkt: 16-08-2023, 10:18
Door Anoniem: [...]
Zet jezelf eens op de stoel van security architect van een bank, en vraag je af wat is het beste dat je voor AL JE KLANTEN werkbaar kunt krijgen , niet alleen voor paranoide nerds met een Qubes VM en daarin OpenBSD .

Dan wint "smartphone" gewoon met gemak .
Heb je er wel eens over nagedacht dat het met de smartphone te gemakkelijk gaat? Ik durf mijn schoonmoeder de bankapp niet aan te raden aangezien ik denk dat zij (ondanks alle waarschuwingen) gewoon in een whatsapp fraude trapt oid. Met zo'n app op hetzelfde device is het te gemakkelijk om direct geld over te boeken: nu is de drempel een stuk hoger en lukt dat niet.

Verder heeft men blijkbaar een onbegrensd vertrouwen in de smartphone terwijl er genoeg hacks op bekend zijn. En die hacks zie ik niet eens als het grootste risico: het grootste riisico is gewoon social engineering. Dat wordt juist bij zo'n app een stukje gemakkelijker.

Ben je heel zenuwachtig dan koop je maar een (extra) smartphone waar je niks anders opzet dan je bank en DigiD, en die leg je in de la als je klaar bent.
Staat ie uit is er ook niks te data graaien .
Lekker makkelijk gezegd. Elke 3 jaar (want daarna geen security updates meer in veel gevallen) een nieuwe telefoon aanschaffen alleen voor bankzaken (en verplicht een Google/Apple account aan te maken). De banken verhogen jaar in jaar uit de kosten voor een rekening en verarmen de mogelijkheden: naast het sluiten van bijna alle kantoren, het wegbezuinigen van de meeste pinapparaten, ook nog het wegbezuinigen van de mogelijkheid om zonder smarhphone te kunnen bankieren.

Het enige waartoe ik bereid ben is om de authenticatie op mijn phone te doen, maar alleen als de app open source is en niet enkel beschikbaar in een gesloten Apple/Google store, dat alle trackers zijn verwijderd, en dat het enige doel van de app de authenticatie is en alle andere faciliteiten er niet in zitten.
16-08-2023, 11:00 door Anoniem
Door Anoniem: Gewoon eset smartphone beveiliging voor 10euro per jaar en voor5 aparaten klaar is zeer goed mijn ervaring al it.r
hoef je dan verder niks te doen gaan er dan geen andere dingen belangrijk zijn dat is wel makkelijk zo 10 euro voor 5 aparaten is geen geld lekker makkelijk ook
16-08-2023, 12:19 door Anoniem
Door Anoniem:
Door Anoniem: Gewoon eset smartphone beveiliging voor 10euro per jaar en voor5 aparaten klaar is zeer goed mijn ervaring al it.r
hoef je dan verder niks te doen gaan er dan geen andere dingen belangrijk zijn dat is wel makkelijk zo 10 euro voor 5 aparaten is geen geld lekker makkelijk ook
Updaten van je systeem is veel belangrijker dan Eset
Kun je gewoon weglaten en verstandig omgaan met je telefoon
is nog goedkoper
Systeemupdates worden levenslang gemaakt binnenkort
16-08-2023, 12:32 door majortom - Bijgewerkt: 16-08-2023, 12:32
Door Anoniem:
Door Anoniem:
Door Anoniem: Gewoon eset smartphone beveiliging voor 10euro per jaar en voor5 aparaten klaar is zeer goed mijn ervaring al it.r
hoef je dan verder niks te doen gaan er dan geen andere dingen belangrijk zijn dat is wel makkelijk zo 10 euro voor 5 aparaten is geen geld lekker makkelijk ook
Updaten van je systeem is veel belangrijker dan Eset
Kun je gewoon weglaten en verstandig omgaan met je telefoon
is nog goedkoper
Systeemupdates worden levenslang gemaakt binnenkort
Levenslang is overdreven. Het voorstel stelt minimaal 5 jaar voor security updates (zie https://www.security.nl/posting/800148/Kabinet+verwacht+langere+updateplicht+voor+producten+door+Europese+wet)
16-08-2023, 13:14 door Anoniem
Door Anoniem: Bij mijn desktopsysteem (Debian) overzie ik aanzienlijk beter waar ik aan toe ben.

Het probleem :-(

The traditional application security model on desktop operating systems gives any executed application complete access to all data within the same user account. This means that any malicious application you install or an exploited vulnerability in an otherwise benevolent application can result in the attacker immediately gaining access.

https://madaidans-insecurities.github.io/linux.html


Een oplossing :-)

apparmor-profile-everything is an AppArmor policy to confine all user space processes on the system. This allows users to enforce a strong security model and follow the principle of least privilege. An AppArmor policy for the init and systemd is loaded in the initramfs, which then applies to all other processes.

https://www.kicksecure.com/wiki/Apparmor-profile-everything

Een bestaande Debian 12 (bookworm) installatie kan met apparmor-profile-everything worden beveiligd. Let op: apparmor-profile-everything is nog in ontwikkeling. Het kan breken. Het wordt momenteel alleen aanbevolen voor ontwikkelaars.
16-08-2023, 14:44 door Anoniem
Door Anoniem: Een smartphone kan gewoon de hele transactie laten zien - bedrag, bestemming.
Dat doet de Rabo Scanners anders ook gewoon.
En daarnaast een smartphone met iOS of Android is per definitie nooit veilig. Of jij moet het aantasten van privacy niet zien als een veiligheidsrisico.

Het is te hopen dat de banken voordat zij de stekker uit het online-bankieren halen, een bank opstaat die begrijpt dat de privacy van de klant wel degelijk belangrijk is.
16-08-2023, 15:03 door Anoniem
Door Anoniem:
Door Anoniem:
Maar ze gaan er dan van uit dat je een smartphone hebt. Een enorme blunder. Als ING (of welke bank dan ook) de mogelijkheid om te bankieren met een pc in stand wil houden dan moet dat volledig zonder smartphone kunnen.

Waarom denk je nou dat bankieren met een desktop persé _helemaal zonder_ een smartphone moet kunnen , of dat dat wenselijk is , of het doel is ?

Er is best wat te zeggen voor het feit dat een groot display (en zicht op allerlei andere data - spreadsheets, rekeningen) voor sommige bankier zaken erg handig is .
Om die reden (ook) de website aan bieden kan dan een prima oplossing zijn - met daarbij alle authenticatie/transactie bevestiging op een (veel) veiliger platform zoals een smartphone .
Of , in het geval van ING , de optie van een calculator-device met kleuren-QR scanner .
Grappig dat gedacht wordt dat zo'n stom klein onhandig apparaat dat alle communicatie gewoon draadloos de atmosfeer in slingert (en dus ongemerkt aftapbaar) veiliger zou zijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.