Sorry, kan voorlopig deze rekening niet betalen, ben nml nogal verkouden ...

Zul je snipverkouden zijn...

"Sorry, kan voorlopig deze rekening niet betalen, ben nml nogal verkouden ..."

Verkoudheid heeft helemaal geen effect op dergeljke stem analyses. Overigens vraag ik mij af wat de kosten zijn per transactie indien je zowel met SMS als telefonisch (?) met stemanalyse moet authenticeren. Gaat dit alleen om veiligheid, of incasseert men ook extra geld per transactie ?

Leven ze daar nog in de jaren 50 ofzo ? Tuurlijk is dat niet genoeg... maar kijk eens naar andere landen en hoe die het doen (hint : persoonlijke calculator enzo).

twee-factor werkt niet... 3, 4 en 5 factor werkt ook niet.

Ik neem aan dat je het wel weet, maar toch wil ik even zeggen dat meer dan 3 factoren natuurlijk niet bestaat. Je hebt wel gelijk.

Helaas denkt men vaak "hoe meer factoren, des te veiliger", maar als je systeem besmet is met man-in-the-middle-malware, dan worden alle factoren gewoon gekopieerd. Wat je nodig hebt is meerdere kanalen om tegen de klant te zeggen: dit bedrag maakt u over naar die en die. Dat kan via sms, of via de e.Dentifier2 van ABN als je de kabel hebt aangesloten.

Heeft inderdaad geen nut, hoe raken de meeste mensen hun wachtwoord en account gegevens kwijt? door Phising, en wat doe je nu je verplaatst het probleem... het enige wat de hackers moeten doen is het voice systeem spoofen en daar de geluiden opnemen wat krijg je dan? Juist toegang.... enige wat ik daar op kan bedenk is: "Repeat the word" dan er dan wel iets meer security inzit.

Vijf jaar geleden werd al geconstateerd dat het toepassen van two-factor authentication niet bijdraagt aan een betere beveiliging van online banking. Wat gebeurde er namelijk? Er was een verschuiving van host-based attacks (bijvoorbeeld keystroke-loggers, trojans) naar network-based attacks (session hijacking / MitM) en phishing.
Het probleem zit dus niet in de tekortkoming van 2FA, maar een authenticatiemodel dat niet deugt. Ik zie dus niet hoe thee-factor authentication kan zorgen voor een betere beveiliging.

Bruce Schneier 4 jaar geleden over 2-factor auth: http://www.schneier.com/blog/archives/2005/03/the_failure_of.html
en 2 weken geleden "hacking two-factor authentication": http://www.schneier.com/blog/archives/2009/09/hacking_two-fac.html

Zo'n persoonlijke calculator is iets wat je hebt. De pincode van dat ding is iets wat je weet. Dat zijn gewoon twee factoren, hoor. Het grote voordeel van die calculator is dat hij niet gekoppeld is aan je computer en er niet door besmet kan raken. Bij grotere bedragen is het totaalbedrag een van de challenges die je op moet geven. Ik heb bij mijn bank nog niet meegemaakt dat de tegenrekening als challenge ingetoetst moet worden, dus een man-in-the-middle-aanval kan nog steeds ergens tussen komen.



Bij het ondertekenen van een transactie heb je het inmiddels niet meer over authenticatie maar over onweerlegbaarheid, maar dat verandert je punt niet.

Mijn favoriete fantasie op dit gebied is een apparaat dat je op de pc aansluit met een USB-kabel. De transactiedata, met minimaal de bedragen en tegenrekeningnummers, worden naar dat apparaat gestuurd en daar op een display getoond. Op het apparaat zelf toets je een pincode in om te ondertekenen met de privesleutel, gebruikmakend van sterke encryptie. Het sleutelpaar is op het apparaat gegenereerd en de privesleutel verlaat het apparaat nooit. Het ding is natuurlijk gecertificeerd tamperproof. De USB-aansluiting is alleen beschikbaar voor gegevensuitwisseling (via een open protocol als het even kan, we willen onder Linux/*BSD/whatever kunnen ondertekenen), en niet voor gevaarlijke dingen als firmware upgrades (mogelijk wel als die actie met allerlei cryptografische waarborgen is omgeven, maar ik zou het liever fysiek gescheiden houden). De ondertekende transactie gaat terug naar de pc, naar de bank, en wordt daar gecontroleerd: de handtekening met de publieke sleutel en natuurlijk is de inhoud van het bericht bepalend voor wat er wordt overgeboekt. De pc mag zo lek als een mandje zijn, je weet nog steeds zeker welke gegevens zijn ondertekend en de klant heeft gezien wat hij ondertekent. Fysiek moet het ding wat groter zijn dan de nu gangbare tokens, je hebt een groter display en een numeriek toetsenbordje nodig. Formaat zakrekenmachientje moet volstaan.

Ik herinner me als kind (jaren '60 of '70 moet dat geweest zijn) in een aflevering van de Donald Duck te hebben gelezen dat Willy Wortel voor Dagobert Duck een onkraakbare toegang tot de kluis van zijn geldpakhuis had ontworpen op basis van stemherkenning. Helaas werd Dagobert verkouden, was zijn stem kwijt en kon hij niet meer bij zijn geld.

Dat blad was soms merkwaardig ver zijn tijd vooruit ;-)

Volledig eens met het MiTM stuk. Twee kanalen die goed van elkaar gescheiden zijn maken de hindernis voor de crimineel aanzienlijk hoger.
Wat ik niet wist is dat de e.dentifier2 daar ook tegen bestand is. Waarom eigenlijk ?
Mijn andere probleem is dat de e.dentifier2 aan de kabel meestal niet werkt bij mij.

Als je de e.Dentifier2 per USB aansluit zie je op het schermpje je transactie (bedrag, begunstigde) die je vervolgens aan de hand van je pas met pincode (misschien staat er inderdaad wel een soort private key op je paschip) ondertekent. Helaas mist het apparaat soms net een aantal details over je transacties, dus dat is nog een verbeterpunt.

Stemherkenning :-)

Spreek nu uw wachtwoord in: Rotterdam
Wij hebben ontvangen: Otterdam
Is dit juist? : Nee
Spreek nogmaals u wachtwoord in: Rotterdam!
Wij hebben ontvangen: Ottterloo.
Is dit juist: NEE!!
Spreek nogmaals u wachtwoord in: KRIJG DE ZIEKTE STOM ACHTERLIJK ROT DING!!
Wij hebben ontvangen: KRIJG DE ZIEKTE STOM ACHTERLIJK ROT DING!!
Is dit juist? : JA! :D

Bedankt u logt voortaan in met de zin "KRIJG DE ZIEKTE STOM ACHTERLIJK ROT DING!!".

Dit probleem hadden wij dus bij plaats herkenning van de dierenambulance...

Ze moeten die achterlijke pinautomaten eens beveiligen in plaats van internetbankieren.

Internetbankieren kun je tenminste veilig doen, mits je weet hoe je met een computer om moet gaan. Maar dat achterlijke pinnen kun je tegenwoordig op geen enkele manier meer veilig doen. Of je moet die pinautomaat uit elkaar halen, om te kijken of er niet zo'n oost Europese (***)zak mee heeft zitten klooien.