Door waterlelie: Het sluit aan op de zorgen die ik heb over het afschaffen van de Bank e-dentifier of ander externe mogelijkheden om in je bankrekening op de PC te komen.
Zonder de discussie in de door jou gestarte draad (
https://www.security.nl/posting/806381/Bank+app+en+de+spionage+app, met goed- en slecht onderbouwende argumenteerders) helemaal over te willen doen: elke techniek heeft voor- en nadelen, die in de tijd ook nog eens veranderen qua ernst (aanvallen op smartphones zullen voorlopig blijven toenemen).
Zowel een los kastje, waarop in elk geval het overgeboekte bedrag kan worden afgelezen (of op moet worden ingevoerd), als jouw webbrowser, checken niet of je op de echte site van jouw bank zit; een bank-app doet dat wel.
Daarentegen is het allesbehalve transparant wat er in een app gebeurt (in Chrome onder Android kun je door
chrome://net-export/ in de adresbalk in te voeren, zeer gedetailleerde logging maken - welliswaar in een niet simpel te lezen json file). Belangrijker, als jouw smartphone gehacked is, is die smartphone met app een SPOF (Single Point Of Failure); je hebt dan 0FA.
Maar dat geldt net zo goed voor een webbrowser op een PC.
Door waterlelie: Waarom niet alleen een zelfstandige authenticator app van de bank, dat zou al op veel meer acceptatie kunnen rekenen. Omdat de authenticator (qr code scanen) nu geïntegreerd is in de bank app op je telefoon, moet je dus verplicht de bank app openen om de qr code authenticator te kunnen gebruiken.
Als ik je goed begrijp bedoel je internetbankieren via een browser op een PC en een tweede factor via een app op een smartphone: dat willen de meeste mensen helemaal niet. Sterker, een rap groeiend aantal mensen heeft helemaal geen klassieke PC meer (en indien wel, dan gaat die niet mee op vakantie), terwijl de mensen die nog wél een PC hebben en gebruiken, lang niet allemaal een recente smartphone bezitten (of weten hoe ze daarmee om moeten gaan; MFA is voor onverwacht veel mensen totaal onbegrijpelijk).