Noorse online banken zo lek als een mandje
Volgens professor Kjell Jorgen Hole van de Bergen universiteit in Noorwegen is het voor hackers een fluitje van een cent om Noorse online banken te hacken. Door het implementeren van eenvoudige oplossingen zijn de gebruikers slecht beschermd. "Security by obscurity," aldus Hole, die van mening is dat banken dit doen omdat hun klanten toch niet weten wat er gedaan moet worden om het systeem te beveiligen. Het probleem zou hem liggen in de combinatie van geboortedata of rekeningnummers met tijdelijke PIN codes die de gebruiker toegang tot zijn rekening moet geven. Door het genereren van voldoende combinaties kan een hacker uiteindelijk een werkende combinatie vinden, met alle gevolgen vandien, aldus dit artikel.
aansprakelijk zijn?
En met OTP kan je geen combinatie generen?
als je een jaartje of 800 hebt wel ja, punt is dat statische wachtwoorden altijd
zwakker zijn dan 1malige. Zeker gezien het feit dat de meeste OTP alleen in
een bepaald tijdslot geldig zijn
te kraken zijn?
oke, maar blijkbaar zit daar een patroon in oid, dus zal het
te kraken zijn?
neen, gebasseerd op een random 6 cijferig getald wordt een
code gegenereerd, die slechts tijdelijk geldig is. Op het
moment dat een werkelijke transactie plaatsvindt moet dit
proces worden herhaald. In het ideale geval gekoppeld aan
de pinpas, die eerst met pincode geactiveerd moet worden,
alvorens de gegenereerde code kan worden opgevraagd en
toegepast.
Security dus op het principe:
- wat ik heb
- wat ik weet
Veel plezier met kraken zou ik zeggen.
oke, maar blijkbaar zit daar een patroon in oid, dus zal het
te kraken zijn?
neen, gebasseerd op een random 6 cijferig getald wordt een
code gegenereerd, die slechts tijdelijk geldig is. Op het
moment dat een werkelijke transactie plaatsvindt moet dit
proces worden herhaald. In het ideale geval gekoppeld aan
de pinpas, die eerst met pincode geactiveerd moet worden,
alvorens de gegenereerde code kan worden opgevraagd en
toegepast.
Security dus op het principe:
- wat ik heb
- wat ik weet
Veel plezier met kraken zou ik zeggen.
ABN/AMRO maaakt hier gebruik van :D
oke, maar blijkbaar zit daar een patroon in oid, dus zal het
te kraken zijn?
neen, gebasseerd op een random 6 cijferig getald wordt een
code gegenereerd, die slechts tijdelijk geldig is. Op het
moment dat een werkelijke transactie plaatsvindt moet dit
proces worden herhaald. In het ideale geval gekoppeld aan
de pinpas, die eerst met pincode geactiveerd moet worden,
alvorens de gegenereerde code kan worden opgevraagd en
toegepast.
Security dus op het principe:
- wat ik heb
- wat ik weet
Veel plezier met kraken zou ik zeggen.
ABN/AMRO maaakt hier gebruik van :D
Kijk, JIJ hebt opgelet in de klas, ze zijn echter niet de
enige ...
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
