Oh, het gaat nog wat verder hoor.

Laatst had iemand een geheim nummer genomen, de nieuwe simkaart in een nieuwe Android smartphone gestopt om er later achter te komen dat het geheime telefoonnummer bij datagraaier Google terecht was gekomen.

Je moet tegenwoordig dubbel oppassen wat je doet.

Mooi. Anders kunnen mensen die geen smartphone/mobiele telefoon willen of hebben helemaal niet meer bankieren bij Triodos, want ze hebben ook geen bankfilialen waar je je bankzaken kan regelen.

Ik ben zelf eerder overgestapt van SNS Bank naar de Rabobank omdat SNS ging stopen met hun identifier en ze in hun algemene voorwaarden vereisen dat de apparaten die de klant gebruikt zijn voorzien van de laatste beveiligingsupdates. Ik heb wel een smartphone maar die krijgt geen beveiligingsupdates meer. Bij de Rabobank heb ik een Rabo Scanner waardoor ik via de PC kan bankieren zonder dat ik een smartphone nodig heb.

Volgens mij zijn webapps een ding, waarom word dat niet gebruikt eigenlijk?

Dat zijn in principe gewoon websites, maar dan gedownload voor (offline) gebruik.
Heb je maar één applicatie die voor zowel desktop (windows/apple/linux) als Android of iPhone werkt.
Hoef je ook niet afhankelijk te zijn van een play/app store, en blijft je privacy behouden.

Zo'n webapp download je dan in principe gewoon via de website van de bank.

Dat gaat bij de Rabobank ook niet lang meer duren voordat de stekker uit hun online-bankieren getrokken wordt.
Hele website is afgestemd op mobiel gebruik (daarom ziet het er niet uit en werkt het zeer onprettig), ze maken reclame dat (meen) 70 procent al hun - privacy-onvriendelijke - app gebruikt en de "klantenservice" wil hier geen vragen over beantwoorden (die reageren sowieso enkel als het in hun straatje past). Dan weet je wel hoe laat het is.
Rabobank kennende word je hier overigens vooraf niet van op de hoogste gesteld. Op 'n dag (toevallig op een vrijdag na 17 uur) kun je niet meer inloggen.

Klopt, jouw nummer is zichtbaar in het menu van Android. En kan geheel automatisch ingevuld worden in formulieren. Dan moet het haast wel dat meerdere applicaties hier vrij toegang toe hebben.

Een klantenservice kan hier ook helemaal geen antwoord opgeven.

Ik denk dat de website nog lang actief is, de app heeft veel functionaliteit nog niet en de zakelijke variant zit helemaal een groot verschil in.

Persoonlijk heb ik trouwens ook geen probleem met de website als ik op mijn computer en webbrowser inlog.

Die website is al jaren min of meer hetzelfde en niet afgestemd op mobiel gebruik.
Ik vind het wel prettig werken mbv PC.

Wat de mobiele platformen zo erg veel veiliger (en stabieler) maakt dan de typische desktop omgeving :

1) Er is een 'curated store' waar het erg moeilijk (Apple) of 'best moeilijk' (Google) is om malware beschikbaar te maken
2) Default is het mobiele device ingericht om GEEN SOFTWARE van "zomaar ergens" te runnen .
3) updates kunnen gepushed worden .

De afgelopen dertig jaar desktop OS ervaring heeft wel laten zien dat "software van overal vandaan halen" en "eindgebruiker == systeembeheerder" precies de combinatie zijn waarom die platformen zo'n jungle zijn.
Op de mobiele platformen is de eindgebruiker eigenlijk meer 'applicatiebeheerder' , in ITIL termen dan "systeembeheerder" .

Een deel van die desktop problemen is "opgelost" met verschuiven naar "alles draait in de browser" concept.
De browser is dan eigenlijk een 'virtueel execution environment' , en de (javascript app) is universeel , permanent ge-update , en behoorlijk geisoleerd van andere "apps" .
Dat scheelt heel veel test en debug werk vergeleken met een 'OS-native' app . Alleen de isolatie tegen "andere software op het platform" is lang niet zo sterk als op een mobiel device .


"Download gewoon een app-achtig iets van zomaar een website die lijkt op die van je bank" is precies terug naar die desktop situatie .
Ik betwijfel of het concept uberhaupt kan op mobiel (als in - zo'n side-loading gat open zou me erg verbazen) , en als bank wil je ook je klanten niet leren dat je dat soort spul moet vertrouwen.
Functioneel verwacht ik ook dat eventuele in-browser spul erg ver weg gehouden wordt van de device-authenticatie en secure enclave features die een app kan vragen op mobiele devices.

Ik bankier zonder die smartphone en met alleen m'n PC. Via de optie "browser aanmelden". Verder ook geen apparaatje meer nodig. Is alleen de eerste keer wat meer werk. PC is wel up-to-date natuurlijk.

Deze vraag snap ik niet zo goed. Ik heb een AppleID, maar daarmee ligt toch helemaal geen enkel persoonsgegeven bij Apple (ja, ze hebben een random aangemaakt mailadres, en het IP adres waar ik mee op het net zit, maar dat is het dan toch ook)? Met het Apple ID kan ik de app van de banken (veilig, zonder zorgen dat het toch niet van de bank is) downloaden (en makkelijk updaten) en Apple ziet verder toch totaal niet wat in die App gebeurd?

En een "publieke appstore" heb ik nog nooit gezien. Bestaan die bij Apple? En is die dan ook veilig, of staat die vol malware?

Hm ing bank was toch begonnen om google pay te gaan gebruiken in plaats van een eigen betaalfunctie?

Zowel de app als de losse identifier hebben vóór en nadelen.

Als je geen nep-app downloadt, maar de echte bank-app en uitsluitend die app gebruikt (je jezelf niet laat verleiden om voor "iets bancairs" een browser te gebruiken in plaats van de app), is phishing nagenoeg onmogelijk - omdat de URL's van de bank in de app zitten ingebakken. Een andere voorwaarde daarbij is dat je geen enkel (onbetrouwbaar) rootcertificaat op de smartphone of tablet installeert - en ook geen malware of RAT (Remote Access Tool, zoals AnyDesk of Teamviewer).

Een identifier is niet phishing-bestendig: als je, in jouw browser, een nepwebsite (met minder of meer afwijkende domeinnaam) hebt geopend die de pagina's van https://triodos.nl kopieert, de codes uit jouw identifier invoert, kan de nepwebsite die doorsturen naar de echte Triodos website, en zich zo voordoen als jou.

Een voordeel van de Triodos identifier, als je geld overmaakt, is dat je het over te maken bedrag (naar beneden afgerond in hele Euro's) op de identifier moet invoeren om een OTP (One Time Password, hier een numerieke code) te genereren. Dat bedrag kan een AitM (Attacker in the Middle, de nepwebsite) dus niet veranderen. Wel kan die AitM het geld naar een ander rekeningnummer overmaken dan jij te zien krijgt; hoe groter het bedrag, hoe groter je verlies.

Dat laatste geldt ook als de AitM "in de browser" of in het besturingssysteem "zit" (van PC, smartphone of tablet). Met een app heb je geen enkele bescherming meer als het besturingssysteem van jouw smartphone of tablet gecompromiteerd is, of als je verleid bent om een RAT te installeren (en een kwaadwillende daar toegang tot heeft).

Onderin https://security.nl/posting/877799 staat een plaatje waarin ik laat zien hoe zo'n AitM te werk kan gaan en op welke plekken zij of hij kan toeslaan.

En onderin de bovenste posting in https://security.nl/posting/882999 verwijs ik naar een oplossing tegen nepwebsites.

Een reader apparaatje is nog veiliger als een app op een smartphone of een desktop omgeving. Hoe wou je zo'n reader aan gaan vallen? Besmetten met malware?

Bovendien laten sommige readers zien welk bedrag je overmaakt en naar welke rekening. Een aanvaller moet dus hopen dat de gebruiker haast heeft en het schermpje niet leest voor die de transactie goedkeurt op de reader.

Ik las dit een tijdje terug bij de faq op de Triodos-site, daar gewoon met Triodos zelf over gemaild, en kreeg meteen al een geruststellend antwoord waaruit bleek dat men mijn vraag goed begrepen had, en dat er bij het door mij geschetste scenario dus wel een nieuwe identifier kan worden toegestuurd.

---

Tja, wat wil je als je een google product gebruikt wat gemaakt is om dataverzameling te faciliteren?
Daarnaast: Een geheim nummer zegt iets over publicatie in openbare databases (vroeger het telefoonboek), als je zelf besluit je nummer aan datagraaiers te geven door hun producten te gebruiken kan niemand anders dat tegenhouden.

Als je de reader zou kunnen gebruiken voor je bankzaken; ja. Het probleem is dat je de reader gebruikt in combinatie met een PC, die voor veel meer kwetsbaarheden gevoelig is dan een app op een smartphone; precies wat Anoniem@18:17 keurig uitlegt.

Een smartphone hoeft niet je hele leven met Apple/Google te delen, dat doe je zelf. Door veel vinkjes op standaard te laten staan; én er veel te veel gegevens in te zetten.

Ofwel een app is voor leken in algemene zin veiliger omdat het veel minder van de gebruiker vereist qua eigen controle waarbij een hardware token voor kenners veiliger is.

Iemand met beveiliging kennis zal altijd voor airgapped gaan en inloggen via een keymanager of bookmark en niet klikken op enige toegezonden browser, mail links. Sommige zullen zelfs hun bankzaken op een separaat systeem uitvoeren of een liveboot in readonly modus of nog een stap verder alle DNS omzettingen blokeren behalve van een zeer selecte allow list waardoor phising nagenoeg helemaal onmogelijk is tenzij er DNS poisoning gaande is.

Probleem voor de beveiliging groep is die zijn nog geen procent van de klantbestand van een bank helaas en bezitten evenmin meer dan een procent van de bank hun inkomsten. En dat betekend ook ondergeschikt als het komt op investering focus en luisterbereidheid van de bank.

Je hebt gelijk in dat er nog steeds een phishing/misleiding risico is bij installatie van (web) applicaties.
Maar dat is ook bij online bankieren/betalen via Paypal/etc, en hiervoor heeft Erik van Straten al een oplossing.

Wat de installeerbare webapps betreft, de exacte term is "progressive web app". In Chrome, er zit een "Toevoegen aan startscherm" optie in de dropdown menu. Deze plaatst de "webapp" als bona-fide app op je telefoon, met eigen icoontje en app instellingen. Als de website een PWA bied, kan je die gedownloade app ook zonder internet gebruiken. En het zal je verbazen hoeveel functionaliteit daar in zit en hoe veel features je kan gebruiken. (Ja, ook vingerafdruk beveiliging.) Probeer eens zelf: https://whatpwacando.today/

Het kanaal tussen de klant en de bank hoeft niet veilig te zijn. Cryptografie zorgt ervoor dat zij de codes kunnen vertrouwen. Mijn punt is dat er niets veiliger is als je bank reader. Nog veiliger als een up-to-date smartphone zonder overbodige Apps.

Anoniem 21:07

Een vraag wat mij al lange tijd bezig houdt. Ik heb een digipas bij de SNS, deze is bijna op. (batterij) Dan biedt de SNS 2 mogelijkheden de app of een browsercode. Browsercode lijkt mij het meest onveilig. Komt erop neer dat je jouw browser aanmeldt bij de bank en een cookie moet laten staan, altijd. De code is ook altijd hetzelfde. Lijkt mij te hacken/spoofen. Dat weet ik niet zeker, kan iemand daar een antwoord op geven? Los van het feit dat ik mijn browser niet ga compromitteren door een cookie vd bank toe te staan. Cookies/geschiedenis worden gewist na elke sessie. Geen optie voor mij dus.

De mobiele app. Ik heb Graphene OS. Geen google en/of apple store.

Browsercode valt af, mobiele app valt af. Is de bank dan niet verplicht om mij een digipas te verstrekken, aangezien ik moet kunnen bankieren?

De manier om het op te lossen zonder digipas is in GOS een user profiel aan te maken speciaal voor de bankapp. Beveiligd met vingerafdruk en een code. (Ik zou nooit alleen biometrische inlog gebruiken, ware het niet dat GOS het op je mobiel opslaat en je ook een code nodig hebt. Lijkt mij een zeer goed feature van GOS.) Daar sandboxed google play (services) installeren en een google account (alleen voor dit doeleinde) aan te maken en de bankapp te installeren. Daarnaast het profiel helemaal dichtgooien. Google play (services) en de bankapp zijn de enige apps die geupdated mogen worden, verder mag er niks worden geïnstalleerd. Kan zelfs SMS en Telefoon uitschakelen. (Kan je ook niet aan de telefoon zitten met de "bankmedewerker')

Heeft iemand hier ervaring mee? Tips?

Het nadeel hiervan: Google play store. Ik wil niks met google te maken hebben. En... meegaan in de dwang vd banken naar apps. Want als ik de app zou gebruiken op deze manier, doe ik dat alleen om in de browser bankzaken op mijn PC te verifiëren. Ik wil geen bankzaken doen op mijn mobiel.

Ben bang dat dit 'de oplossing is'. Volgens mij het meest veilig, na de digipas, maar wel met haken en ogen. (Google, mobiel, app)

Na inloggen is het gebruikelijk dat de website een session-cookie (of JWT o.i.d., ik ken waarschijnlijk niet alle mogelijkheden) naar de browser stuurt. De browser stuurt dat cookie mee naar de website bij elke volgende request (zodat je niet elke keer opnieuw hoeft in te loggen).

Omdat session-cookies niet TLS-sessie- of device-gebonden zijn, is dat waar veel aanvallers naar op jacht zijn. Maar browsers horen ze niet te lekken.

Het waarschijnlijk grootste gevaar zijn nepwebsites die inloggegevens, inclusief zwakke 2FA/MFA (zoals codes via SMS, TOTP of Number Matching), doorsturen naar de echte website en daarna het geretourneerde session-cookie bemachtigen. Maar ook foute browser-plugins vormen een groot risico.

Als je root-access hebt, zou je het volgende kunnen doen: eenmalig dat speciale bank-cookie uit een van de mapjes van jouw browser kopiëren naar een veilige plaats. Elke keer als je wilt internetbankieren, start je een scriptje dat het cookie terugzet. Als je na het bankieren de browser sluit, worden alle cookies in de browser-mapjes verwijderd (inclusief het bank-cookie).

Als je het heel mooi wilt maken, zou je het opzij gezette cookie kunnen versleutelen en het scriptje zo maken dat het jou om een decryptie-wachtwoord vraagt. Maar als je vreest dat jouw device gecompromiteerd kan raken, is dit niet veel meer dan security by obscurity.

En _al_ die risico's (browser plugins, neppe websites , devices die (makkelijk) gecompromitteerd worden ) loop je niet met een app :

1) - app gaat alleen maar naar de juiste web(API)
2) - app kent geen plugins
3) - app draait op een platform dat erg moeilijk te compromitteren is.

Blijft verbazingwekkend waarom die app haters van zichzelf vinden dat ze 'veiliger bezig zijn'

Blijft verbazingwekkend waarom die whatever haters niet eerst lezen voordat zij roeptoeteren https://security.nl/posting/883529