natuurlijk niet! Gebruikersnaam en wachtwoord zijn
hardstikke veilig!

Dat lijkt mij een goed plan. Ik zie een phisher nog niet iemand bellen en
vragen wat de code is die de token teruggeeft. Maar wat nog niet is, kan
nog wel komen. Mensen hebben de neiging overal in te trappen, dus ook
bij die zogenaamde Postbank medewerker aan de telefoon...

de procedure is niet zo simpel als in dit artikel wordt
gesteld, tenminste niet als je echt iets wil gaan doen

Ik ben VOOR, als er bank phising voor komt, dan is het voor
websites die TAN achtige logins gebruiken. Ik zit zelf bij
de rabo, en dat werkt erg handig/veilig met de digipas.
Phising is hierbij onmogelijk denk ik zo!

Ook de DHB Bank gebruikt een digipas, doch deze is beveiligd
met een password, zodat een derde deze niet kan gebruiken,
althans als men er geen briefje bijlegt met het password.
Indien men nauwgezet omgaat met zowel de digpas als met de
tan-codes die door verschillende banken worden gebruikt.,
kunnen phishing daders geen resultaat boeken.

Op de Digipas zit volgens mij nog een pin die je moet activeren voor je het
kunt gebruiken. Bovendien zal een phishingaanval bij dit soort
beveiligingen geen effect hebben. Tenzij deze vooraf wordt gegaan door
een het stelen van de Digipas (met PIN code) en het achterhalen van de
aan deze pas gekoppelde email-account (om het phishingmailtje naar te
versturen). Het zou uiteraard allemaal kunnen, maar de grote kracht van
een phishingmailscam zit 'm in de massaliteit (de verspreidende worm) en
de lage pakkans (anonimiteit) van de scammers.

Ik heb laatst mijn voordeur open laten staan en mijn
portemonnee lag van buiten zichtbaar op tafel. Tjonge, wat
was ik verrast toen iemand hem mee genomen had.

Kortom: laat ieder het zijne doen, maar neem vooral je eigen
verantwoordelijkheid. En als je het niet begrijpt - bv waar
TANs voor zijn - gebruik het dan niet. Misschien dat de
Postbank dat zou moeten doen: iedereen die wil
Internetbankieren eerst verplicht een interactieve
beveiligingscursus laten volgen. Per slot van rekening moet
je ook een rijbewijs hebben om een auto te mogen besturen.

Op zich zijn TAN codes veilig. Ze worden random gegenereerd en zijn
alleen bij de Postbank bekend in de computer.

Hij kan maar een keer gebruikt worden en na drie keer fout ingeven is hij
automatisch niet meer geldig.

Tokens worden gegenereerd aan de hand van vaste gegevens zoals tijd,
serienummer van de tokengenerator en pas en/of rekening nummer.

Wordt een token onderschept, en zijn de rest van de gegevens die bij de
berekening van het token worden gebruikt, dan is het een kwestie van tijd
voordat iemand anders in staat is zelf tokens te genereren.

Alles bij elkaar lijkt mij dan de TAN code veiliger en mag je ook van de
gebruiker een bepaalde kennis en verandwoording verwachten om er mee
om te gaan.

Er zijn nogal wat mensen die hun PIN bij hun pas opschrijven. Ik verdenk
Digipas houders ervan dit ook toe te passen.

Hoewel de Digipas een stuk veiliger werkt dan de Postbank-methode kan
niet in alle gevallen gegarandeerd worden dat onbevoegden toch binnen in
je bankrekening kunnen komen.

Humm... Die TAN codes worden toch realtime naar je mobiel
gestuurd op het moment dat je een transactie doet?

Ik zou willen dat die flut Rabobank zoiets maakte. Dat ik
mijn bankgegevens kon bekijken met login/password en pas bij
betalingen de kaartlezer nodig zou hebben. Ik moet nu steeds
3 trappen af om mijn pasje te halen...

k vind het systeem op zich redelijk veilig, je krijgt je tan
codes per sms (mits je hiervoor gekozen heb) dus als ze erin
zitten kunnen ze geen geld overmaken zonder de TAN's en die
krijgt de eigenaar altijd binnen (tenzij ze ook je telefoon
jatten ;))

-MG

Niet nodig.

De postbank geeft op de login site duidelijk aan dat
zij nooit om gebruikersnamen, wachtwoorden of TAN codes
vragen. En dat zij ook niet communiceren per e-mail. Alle
communicatie naar de klant gaat per brief.
Iedereen die de inlog pagina goed doorleest ziet dat staan.
Dus phishing mails zouden door de lezers niet serieus moeten
worden genomen.

ten eerste is het onzin om te suggereren dat alleen postbank
klanten deze phising scam voorgeschoteld kregen.
het waren random mailtjes...
zou wat zijn als de phisers het klanten bestand hadden van
de postbank... dan zou ik me pas zorgen gaan maken.

wat betreft de postbank login,
het enige wat de postbank moet doen is oude accounts waar
men nog tan codes op papier krijgt afschaffen.

de nieuwe methode waar je tancode wordt gesmsd als je een
overschrijving wil doen vind ik best elegant.
geen gezeur met passen en paslezers...

ook al weet iemand je wachtwoord en login kan die persoon nl
nog steeds helemaal niets dan wel je rekening overzicht zien.

maw,
de meeste mensen die tancodes krijgen gesmsd zijn sowieso
niet vatbaar voor dit soort phising scams omdat ze zelf geen
tancodes weten..

Ja, duh. Maar het was echt gericht op Postbank klanten onder de
ontvangers. Juist omdat dat zo'n makkelijk doelwit is met het verouderde
authenticatie systeem waarvan klanten makkelijk crusiale gegeven kwijt
kunnen geven.

Ik ben blij dat je niet bij de postbank voor het zeggen hebt wat er zou
moeten gebeuren en wat veilig is. 1. Ik wil niet dat de postbank mijn
mobiele nummer heeft 2. ik wens geen beveiligingscodes in plain text
verzonden hebben. 3. Ik wil mijn crusiale codes niet eens over publieke
netwerken toegezonden krijgen. 3. ik wil niet afhankelijk zijn van verplicht
gebruik van een mobiel of andere diensten die niets met het bankieren te
maken hebben om normaal bij mijn geld te kunnen.
Verder helpt je oplossing niets tegen het inzien van de bankgegevens
aangezien de toegang gegevens dus hergebruikt kunnen worden.

De postbank is van mening dat het inzien van de persoonlijke bankzaken
nog met primitief hergebruik van authenticatie gegevens afgedaan kan
worden, terwijl het merendeel van de klanten behalve veilige transacties
ook goede bescherming van die informatie domeinen wil hebben. Het
systeem van inloggen moet dus inderdaad op de schop.

Ah, vandaar dat verzekeringbedrijven goede sloten belangrijker vinden dan
een cursus "aan wie geef ik mijn auto sleutels".

Kom op Ed, cursussen en papiertjes zijn leuk maar we willen zekerheid
over aanwezig zijn van een minimale graad van beveiliging. De menselijke
graad is de zwakste en het minst simpel te controleren. Een eenduidige
goede oplegging van beveiliging door de Postbank is veel meer waard dan
niet allen klanten verplichten bewust te worden van gevaren maar ook nog
gecontroleerd toe te passen. Of ga jij die cursussen en de risico's voor
haar klanten financieel wel even afdekken?

In de wegenverkeerswet staat dat ik mij keurig aan verbodsregels moet
houden. Is daarmee het gevaar ook voor alle betrokken partijen afgedekt?
Nee, natuurlijk niet. Zo laat je de situatie van achteraf uitvechten in stand.
Regels zijn niet voldoende daarom plaatsen wegbeheerders ook zelf
blokkades om weggebruikers te forceren aan regels te houden en die
groeien mee met de behoefte. Bij banken werkt het niets anders. De
beveiliging moet meegroeien met de gevaren.

De discussie gaat over de toegang. Je kan nog zoveel transactie
bevestigingen beveiligen, maar als misbruikers op basis van een
hergebruik van gebruikernaam en wachtwoord al bij de financiele
gegevens en sommige diensten kunnen komen leg je nmm als bank de
grens van stevige beveiliging niet meer op zijn plaats.

Bewust zijn van de vertrouwelijkheid begint niet bij het gebruik maar de
toegang. Je persoonlijke- en financielegegevens zelf zijn officieel al
vertrouwelijk en behoren ook zo behandelt te worden. Aan de andere kant
kan iedere jandoedel via de bank toegang krijgen tot mogen incasseren en
zo beslissen over waar je geld heengaat zonder dat er maar een tan code
aan te pas komt en dat vinden klanten ook niet erg. Ja, dan ga ik als bank
ook geen moeite doen om veel geld uit te geven aan een eenzijdige
beveiliging waar klanten kennelijk maar half om malen.

Ik ben verdeeld (:-))

Opzich kan zo'n phisingaanval elke bank overkomen dus maakt het niet uit
hoe je de loginpagina opbouwt.
Wel is een systeem met een pasje invoeren veiliger denk ik. Uit het
phisingoogpunt gezien.

Een systeem met een pasje lijkt me rampzalig. Kan ik niet
meer bankieren waar en wanneer ik wil zonder een paslezer
mee te gaan slepen. Het systeem met TAN-codes is veilig
genoeg, ik heb geen behoefte om door potentiele de
stupiditeit van anderen een kaartlezer mee te moeten slepen.

Bovendien, werken die digipas-dingen overal op? Ik had eerst
zo'n systeem van Fortis, dat was Windhoos-only (op zich al
lekker veilig...) en was zelfs daarop nauwelijks aan de
praat te krijgen. Was voor mij een reden om die hele
rekening maar te sluiten.

Maar ze doen het wel. Als je inlogt, vragen ze om een
gebruikersnaam en wachtwoord. En als je een
betalingsopdracht geeft vragen ze om een TAN.
Zo'n vermelding op de homepage is leuk, maar tamelijk zinloos.

Als ze die phishing scam wat beter in elkaar hadden gezet,
had ik best kunnen snappen dat veel gebruikers erin trappen.
Tan codes realtime per SMS beveiligt hier prima tegen. Die
tanlijsten moeten ze inderdaad maar afschaffen. Mensen
zonder mobiele telefoon moeten dan maar zo'n digipas krijgen.

Heeft er al iemand bij de Postbank een robotje gemaakt die
echt lijkende namen/wachtwoorden/codes genereert en invult
op de scamsite, om daarna te traceren wie deze codes intypt?

Meer uitleg: http://www.syn-ack.org/papers/postbank.html

in de voorgaande discussies heb ik het begrip
challenge-response nog niet voorbij zien komen: in de
'digipassen' van de andere banken wordt een nieuwe code
berekend die afgeleid is van wat er op dat moment getoond
wordt (in combinatie met toegang tot die digipas mbv
pincode). Dit mechanisme ontbreekt geheel bij de postbank;
daarom onderschrijf ik de stelling: de postbank moet zijn
loginprocedure aanpassen.

(het zal echter wel een tijdje duren, omdat het zoveel
centjes kost....:-(

Niet nodig. Zolang je goed omgaat met jouw inloggegevens en
TAN codes dan hoef je nergens bang voor te zijn. Ik ken
mensen die bij de rabo zitten en de digipas en pinpas in 1
tas stoppen. En op dat ding zit dus geen wachtwoord. En de
codes die zo'n apparaatje geeft die zijn volgens mij
makkelijk te berekenen zodra je weet welke gegevens dit
apparaatje gebruikt.

Ik geef het je te doen. Voor zover ik weet werkt het bij de
Rabo als volgt (heb zelf Rabo):
1. Je vult je rekening nummer in
2. Je propt je normale pinpas in de Random Reader (hierna
RR) en met behulp van je pincode wordt er toegangscode gemaakt
3. Je zet iets klaar voor verzending
4. De site vraagt daarna om een code uit de RR die opgebouwd
wordt uit: rekeningnummer, pasnummer, pincode, datum/tijd en
door website (bank) gegenereerde code die je in de RR moet
douwen.

Knappe jongen die al die variablen zonder ze te kennen in 1x
goed raad. De code wijzigt elke zoveel minuten en is dus
samengesteld uit een 2 variablen (datum/tijd en code van
website) en 3 constanten (rekening en pasnummer en pincode).

Het systeem valt of staat trouwens altijd met de menselijke
kant. Zolang mensen zo stom zijn om pincodes op meerdere
plekken te gebruiken of deze aan andere mensen te vertellen
houdt het op. Wat moet je als bank nog meer doen dan?

Hetzelfde geldt toch voor bijvoorbeeld een huis? Als ik de
sleutel uitdeel aan iedereen of de deur open laat staan dan
kan ik toch verwachten dat het fout gaat?

Ik hoor er niemand over. Alle varianten die hier langs komen
of het nu tokens (One-time-passwords en Challange/Response)
of TAN lijsten zijn zijn kwetsbaar voor Man-in-the-middle
attack. Tuurlijk, niet eenvoudig, zeer geavanceerd, blah,
blah, maar het is en blijft een risico.

De oplossing van de postbank om TAN te verstrekken via de
SMS lijkt een flinke verbetering, want dan kan je je TAN's
niet weggeven. De inlogprocedure van de Postbank is ronduit
zwak te noemen, een simpele UID/PW combinatie, niet van deze
tijd. Gelukkig kennen ze nog de TAN's om enigzins een over
een veilig systeem te spreken.

Overigens was het TAN systeem ten tijde van de offline
Girotel (of het oude videotex systeem) natuurlijk voldoende.
Maar met de introductie van Internet bankieren hadden ze
even stil moeten staan bij de risico's van het "stelen van
TAN's door social engineering". Het is nu wel heel
waarschijnlijk geworden dan de "gemiddelde" gebruiker (=geen
bal verstand van beveiligen & vind het alleen maar onhandig
& snapt niet wat voor risico's er aan internet kleven) er
een keer instinkt. De volgende phishing attack is gewoon in
het Nederlands... en dan? Zijn de dan nog op tijd?

hehe ja daaar moest ik wel even heel hard om lachen de
eerste keer:

"Waarschuwing: De Postbank zal *nooit* om uw gebruikersnaam
of wachtwoord vragen. Vul uw gebruikersnaam en wachtwoord in
om in te loggen."

Toch blijf ik erbij dat de inlogprocedure en vooral de
TAN-begrensde mogelijkheid voor het overmaken van geld,
niet zwakker is dan bij de andere systemen.
Ik ben het met Anoniem eens dat alle systemen gevoelig zijn
voor de Man in the Middle aanval. Zoook het systeem van de
Postbank.
Ik ben het er ook mee eens dat een social engineering
aanval, waarschijnlijk de gevaarlijkste aanval is, toch
geldt dat hetzelfde voor de "mooie" tokens, want als je zo
simpel bent om je UID/PW combinatie weg te geven, dan is het
net zo waarschijnlijk dat de gemiddelde gebruiker van een
token er op dezelfde manier (=geen
bal verstand van beveiligen & vind het alleen maar onhandig
& snapt niet wat voor risico's er aan internet kleven) er
een keer equivalent instinkt.

De kracht van de TAN-code over een gescheiden kanaal (SMS),
is beslist fraai te noemen, de andere banken gebruiken geen
gescheiden kanaal en hebben daarom de tokens harder nodig.

Daarom is het ook erg jammer dat het gerenommeerde bedrijf
FoxIT bij ons in de krant zo ongenuanceerd reageert en de
andere systemen stukken veiliger noemt, terwijl bij de
andere systemen al geslaagde inbraken gedaan zijn en bij de
Postbank nog niet. Daarnaast slaken ze nog ongenuanceerde
uitspraken als dat het waarschijnlijk is dat wegens het
postbank systeem de keuze van de aanvallers op de Postbank
gevallen is. Dat is onwaarschijnlijk te noemen, zo slim zijn
de aanvallers niet, anders zouden ze het wel in het
nederlands gedaan hebben.

Helaas is hierdoor mijn achting voor dit bedrijf toch wel
behoorlijk geslonken.

Frits

Frits, je vergeet dat de uid/pw onveranderlijk zijn en
daarmee continu vertrouwelijke gegevens al ingezien kunnen
worden. Een inlog procedure op basis van tokens met beperkte
geldigheid is daarbij echt veel veiliger. Zeker tegen
harvesters die niet persoonlijk de codes opvragen maar
wachten tot een minder slimme gebruiker ze aanlevert.

TAN over gsm is minder fraai dan een token apparaat. Je bent
als gebruiker afhankelijk van een andere dienst. Een waar je
geen vat op hebt en risico's niet door de aanbieder gedekt
worden. Dat is geen bal veiliger dan een persoonlijk
apparaatje dat je standaard met service krijgt en je niet
bij een van een externe partij afhankelijk bent qua
veiligheid en om het te gebruiken. Bij security draait het
om veiligheid. Hoe minder partijen er bij komen kijken hoe
beter, geen partijen gebruiken die geen belang hebben of
geen verplichtingen hebben rond die veiligheid en eventuele
schade. Niet afhankelijk maken van externe diensten maar de
dienst binnen de core partijen (bank-klant) houden.
Kortom, ik ben het niet eens met je kritiek. Het is een veel
te simpele kijk op beveiliging waarbij je nmm meer aandacht
hebt voor het gemak dan de beveiliging zelf. En dat moeten
we bij beveiliging dus net niet hebben.

De Tan gebruik je alleen om over te boeken. Dat is een
beperkt aspect van het systeem. Inloggen met vaste gegevens
geeft al toegang tot zeer vertrouwelijke informatie en
verder onbeveiligde gebruik mogelijkheden.

Het probleem is niet dat beveiliging gebruik ongemakkelijker
maakt, maar de toepassing het systeem kwetsbaarder. Als een
systeemwat nu voor overboeken gebruikt wordt voor overboeken
al op de voordeur toegepast wordt is de toegang veiliger en
hoeft het niet perse minder gebruik vriendelijk te zijn.

Er zijn wel meer systemen hoor. Pasjes die per minuut tokens
genereren op na invoeren van een pincode, zakapparaatjes die
hetzelfde doen bij doorhalen van je bankpas. Het hoeft
helemaal niet vast te zitten aan een machine of afhankelijk
te zijn van bepaalde software. En over de handigheid? Ja je
'zeult' wat extra's mee, maar wie het veilig wil hebben
houdt bankzaken gescheiden. Kans dat het niet werkt? Kleiner
dan bij producten die je veelvuldig op een dag hanteert.

Men MOET eerst eens GOED de algemene voorwaarden lezen.
De huidige procedure van de Postbank is WEL veilig.
Phishing is al een tijd bekend, en bedrijven, wel, de meeste bedrijven
sturen geen mail om wachtwoorden en dat soort zaken te verifieren.
Als men ZELF zo stom is om er in te trappen is het zijn/haar eigen schuld.
Ik vind dan ook dat men in beginsel ZELF verantwoordelijk moet worden
gesteld voor de eventuele geleden schade.
Zo word men ZELF wat alerter!

Ik heb meer vertouwen in een digipas.
Over internet bankieren heb ik een schriftelijke klacht
ingediend bij de Postbank maar ze reageren niet.

De TAN code is inzichzelf een one time password. Het systeem
is daardoor intrinsiek redelijk veilig. Het probleem is nu
dat eindgebruikers eenvoudig de volgende TAN codes goed
kunnen voorspellen. (Voor de niet postbank gebruikers; de
volgende TAN 100 codes staan genummered op een vel en worden
opvolgorde gebruikt)
Dit systeem kan redelijk eenvoudig worden verbeterd: In
plaats van op volgorde worden er "random"* nummers gevraagd.
De gebruiker heeft geen weet meer welke nummers wel en niet
gevraagd worden. En na bijvoorbeeld 70 gebruikte TAN codes
kan het vel worden vervangen.

Wat ook tijdelijk kan helpen is tijdens dit soort aanvallen
tijdelijk:
- Tweede "random"* code vragen
- Bij inbellen controleren of ander telefoonnummer wordt
gebruikt dan standaard
- Bij internet aanvragen IP addresses opslaan en
controleren. De meeste gebruikers zullen in de praktijk of
thuis of op het werk bankieren. Dat betekent dat er twee ip
adresses (of reeksen) worden gebruikt. Anonymous proxies en
vage buitenlandse ISP's dienen met het nodige wantrouwen te
worden nagekeken.
Dit zijn geen middelen die 100% waterdicht zijn maar ze
kunnen wel helpen om beveiliging beter te maken.

De digipas is een mooi alternatief. Maar zoals al aangegeven
is dat ook niet waterdicht. En heel eerlijk gezegd vindt ik
de TAN codes persoonlijk handiger.

* random hoeft niet 100% toevallig gegenereerd te zijn. Het
moet voldoende zijn om voor de gebruikers een niet te
achterhalen reeks te vragen. Dit kan ook door bijvoorbeeld
een aantal (1000) reeksen te gebruiken. Dat voorkomt dat je
voor elke gebruiker moet bijhouden wat precies op zijn code
kaart is gebruikt.

Ten eerste: 100% beveiligd is een mythe, je kan het alleen zo dicht
mogelijk proberen te benaderen.

Ten tweede: alle beveiligingsmaatregelen zijn afhankelijk van het volgen
van procedures. Deze zal je nooit volledig met techniek kunnen afdwingen