image

Banken verspillen miljoenen aan twee-factor authenticatie

dinsdag 15 maart 2005, 12:23 door Redactie, 7 reacties

Banken geven miljoenen euro's uit aan het implementeren van twee-factor authenticatie voor hun klanten, maar de aanpak biedt niet langer adequate bescherming tegen fraude of identiteitsdiefstal, zo laat security goeroe Bruce Schneier weten. "Twee-factor authenticatie is tientallen jaren geleden uitgevonden en moest bescherming bieden tegen de dreigingen van die tijd. Nu zijn de dreigingen veranderd, en biedt twee-factor authenticatie hier geen verdediging tegen. Het is een verspilling van geld." aldus Schneier in zijn maandelijkse nieuwsbrief CRYPTO-GRAM.

Twee-factor authenticatie tokens bestaan al bijna 20 jaar, maar krijgen via banken en AOL nu pas de aandacht van de markt. Wachtwoorden alleen zijn, zoals iedereen onderhand weet, niet meer voldoende. De oplossing is het genereren van codes via hardware tokens, die elke keer een andere code geven, en zo bescherming bieden tegen afluisteren en het offline raden van wachtwoorden. Althans, dat zou je denken. Volgens Schneier biedt deze techniek geen bescherming tegen moderne aanvallen zoals man-in-the-middle aanvallen en Trojaanse paarden.

Meer informatie over dit onderwerp en andere security gerelateerde onderwerpen, zoals het gebroken SHA-1 algoritme, de Unicode URL Hack en de datadiefstal bij ChoicePoint zijn te vinden in deze editie van CRYPTO-GRAM.

Reacties (7)
15-03-2005, 13:07 door Dr.NO
Volgens Schneier biedt deze techniek geen bescherming
tegen moderne aanvallen zoals man-in-the-middle aanvallen en
Trojaanse paarden.
nee, maar het beschermt wel tegen phising aanvallen
en keyloggers, en daarom is het geen verspilling.
15-03-2005, 13:52 door Anoniem
- Man-in-the-Middle Attack. An attacker puts up a fake bank
website and entices user to that website. User types in his
password, and the attacker in turn uses it to access the
bank's real website. Done right, the user will never realize
that he isn't at the bank's website. Then the attacker
either disconnects the user and makes any fraudulent
transactions he wants, or passes along the user's banking
transactions while making his own transactions at the same time.

Ik ken een andere (technische) definitie van een man in the
middle attack.
Ik vind bovenstaande meer op phising lijken.

De gegeven oplossing lees ik meer als een e.dentifier die
een uniek sessienummer genereert. In Nederlands niets
nieuws, in tegenstelling tot de VS overigens.
15-03-2005, 14:23 door Dr.NO
bij een man-in-the-middle attack zorg je dat je tussen de
echte site en de klant zit, en alle data doorstuurd naar de
klant (evt met een paar wijzigingen), zodat je de klant de
extra (tijdelijke) passwords laat invullen. uiteraard stuur
je dan ook gewijzigde info naar de bank toe (ander bedrag,
ander rekeningnr).

bij phising wordt je login/pw gejat, maar kom je niet
(direct of indirect) op de echte site terecht.
15-03-2005, 15:35 door Arno Dorst
Het wordt nooit helemaal veilig ( 99%). Er blijft altijd (100%) kans dat
iemand de beveiliging weet te breken.
15-03-2005, 23:54 door Anoniem
ja ja, als een klant aanlogd op een fake site.
Dit is dus al weer enkele jaren bij de banken,en als het goed is bij de
klanten bekend.
De banken hier in Nederland waarschuwen hiervoor op hun login site met
een melding dat de klant dient te verifieren dat de url moet zijn;HTTPS;//etc.
Het is dus aan de klant om dit te controleren, dit doet bijna niemand maar
toch.
De bank is het dus niet aan te rekenen als er iets fout gaat.
En ja security is nooit 100% gewaarborgd, maar de 2way authenticatie
dmv een token is, als men het bovenstaande inacht neemt zeer veilig.
Papieren betaalopdrachten werden vroeger ook wel eens onderschept en
aangepast, zo is er altijd wel iets te verzinnen.
15-03-2005, 23:55 door Anoniem
mee eens, zelfs Bruce valt blijkbaar bij gebrek aan nieuw materiaal in
herhalingen
16-03-2005, 11:55 door Anoniem
'de bank is dus niet aan te rekenen als er iets fout gaat' ??

Hoeveel kosten besparen de banken door de gebruikers
internet bankieren 'door hun strot te duwen'? Zouden ze dan
ook niet verantwoordelijk gesteld moeten worden voor de
fraude die daarmee gepaard gaat?

2-factor authenticatie is inderdaad niet voldoende, zoals ik
al eerder geschreven had moet er vooral ook een signing zijn
van de transacties (bedrag en bestemming) door een device
buiten de computer om (postbank?). Dat is de enige methode
om man-in-the-middle en spyware achtige zaken tegen te
houden. Dan kunnen natuurlijk nog altijd je persoonlijke
gegevens (rekeningstand, overschrijvingen, ...) door
man-in-the-middle of spyware gestolen worden, maar ben je
ten minste je geld niet kwijt..
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.