Nieuws
image

Gartner: Twee-factor authenticatie banken verslagen

donderdag 17 december 2009, 13:02 door Redactie, 17 reacties

De door banken gebruikte twee-factor authenticatie is niet meer voldoende voor het beschermen van online bankrekeningen, aldus onderzoeksbureau Gartner. Ruim twee jaar geleden gaf Roel Schouwenberg van Kaspersky Lab dezelfde waarschuwing, dat Trojaanse paarden via man-in-the-browser aanvallen twee-factor authenticatie weten te omzeilen. Ook andere sterke authenticatie factoren, zoals chipkaarten en biometrische technologie, die van de browser afhankelijk zijn, zijn volgens de marktvorser op soortgelijke wijze te verslaan.

Verder biedt twee-factor authenticatie via de telefoon ook geen oplossing. Aanvallers zouden door gesprekken door te verbinden zich kunnen laten authenticeren in plaats van de legitieme gebruiker. "Deze aanvallen zijn het afgelopen jaar wereldwijd met succes tegen banken en hun klanten uitgevoerd", zegt vice president Avivah Litan. Ze verwacht soortgelijke aanvallen op andere applicaties en diensten met waardevolle gegevens.

Monitoring
De oplossing volgens Gartner is een "gelaagde aanpak", met server-gebaseerde fraude detectie en "out-of-band transactie verificatie". Hierbij wordt een ander communicatiekanaal dan het primaire communicatiekanaal, bijvoorbeeld de PC, gebruikt voor het verifiëren van een transactie. Voor de ideale aanpak moeten banken daarnaast meerdere maatregelen nemen. Zoals het monitoren van het gedrag van de gebruikers en verdachte transacties. "Aanvallers hebben gedemonstreerd dat sterke twee-factor authenticatie processen zijn te verslaan. Bedrijven moeten hun gebruikers en accounts via een drie-laagse aanpak beschermen die sterkere authenticatie, fraude detectie en transactie verificatie gebruikt."

Reacties (17)
17-12-2009, 13:21 door ej__
gartner spreekt voor zijn beurt. 2 factor is nog steeds genoeg, mits het zo wordt opgepakt als rabobank het doet voor overmakingen van grote bedragen:

een challenge/response wordt gevraagd over de volgende parameters:

- door de bank gegenereerde code, in het beeldscherm getoond
- bedrag
- tegenrekening nummer

Hier kan een trojan/mitm/mitb niet doorheen breken, iedere (verborgen) wijziging leidt automatisch tot een ongeldige respons.

EJ
17-12-2009, 13:22 door Anoniem
En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.
17-12-2009, 13:40 door Didier Stevens
Door ej__: gartner spreekt voor zijn beurt. 2 factor is nog steeds genoeg, mits het zo wordt opgepakt als rabobank het doet voor overmakingen van grote bedragen:

een challenge/response wordt gevraagd over de volgende parameters:

- door de bank gegenereerde code, in het beeldscherm getoond
- bedrag
- tegenrekening nummer

Hier kan een trojan/mitm/mitb niet doorheen breken, iedere (verborgen) wijziging leidt automatisch tot een ongeldige respons.

EJ

Fortis België doet hetzelfde, maar het criterium is verschillend: het doet dit voor de eerste keer dat je naar een rekening overschrijft, onafhandelijk van het bedrag. Elke nieuwe tegenrekening moet dus gevalideerd worden.

Misbruik is echter nog steeds mogelijk, door eerst een klein bedrag over te schrijven in de hoop dat dit geen argwaan opwekt bij de gebruiker, en later, na validatie, een groot bedrag.
17-12-2009, 16:06 door Anoniem
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.

Hoezo? Bij MITB wijzigen ze dat wat je naar de bank stuurt, maar niet dat wat je van de bank krijgt. Een TAN die via sms wordt toegestuurd is dus nog steeds te beinvloeden.
17-12-2009, 16:26 door iluvatar
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.
Ik kan me vergissen maar volgens mij is er al eens aangetoond dat ook de TAN codes waarmee ING/Postbank werkt niet voldoende is.

Ik vraag me eerlijk gezegd af of het systeem van de rabobank ook voldoende is. In mijn ogen zijn die code's middels een algoritme opgesteld met als basis je chip met pincode. Wanneer je het algoritme weet kan je alle benodigde codes genereren toch? Ik heb in al die jaren één keer een andere kaartlezer gekregen omdat het batterij'tje op was. Dus lijkt het mij dat het algoritme nooit veranderd is. Of sla ik nu compleet de plank mis?

/iluvatar
17-12-2009, 16:58 door [Account Verwijderd]
[Verwijderd]
17-12-2009, 17:23 door Knight Of The Post
Even wachten op ipv6 dan kunnen ze gaan white listen en routes controleren.
17-12-2009, 20:25 door Anoniem
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.
En ook met je telefoon is een man-in-the-middle-attack-mogelijk.
Dus om die "beveiliging" kun je ook heen.
18-12-2009, 09:09 door JeroenKroon_IBM_
Kijk eens ook naar andere technologien. Je kan ook eens voor een andere aanpak kiezen.
http://www.youtube.com/watch?v=mPZrkeHMDJ8&fmt=18
"The Zone Trusted Information Channel (ZTIC) plugs into the USB port of any computer and creates a direct, secure channel to a bank's online transaction server, bypassing the PC which could be infected by malicious software (malware) or susceptible to hacker attacks."
18-12-2009, 09:53 door Anoniem
Door iluvatar:
Ik vraag me eerlijk gezegd af of het systeem van de rabobank ook voldoende is. In mijn ogen zijn die code's middels een algoritme opgesteld met als basis je chip met pincode. Wanneer je het algoritme weet kan je alle benodigde codes genereren toch? Ik heb in al die jaren één keer een andere kaartlezer gekregen omdat het batterij'tje op was. Dus lijkt het mij dat het algoritme nooit veranderd is. Of sla ik nu compleet de plank mis?

Het algoritme zit niet in de kaartlezer maar in de kaart. Waarschijnlijk wordt asymetrische cryptografie gebruikt, zoals RSA. Het geheim is dan de private key en die wordt beschermd door de chipkaart.
18-12-2009, 10:22 door carolined
Door Anoniem:
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.
En ook met je telefoon is een man-in-the-middle-attack-mogelijk.
Dus om die "beveiliging" kun je ook heen.

Leg eens uit "hoe" dan?
Ik heb een tijdje zitten piekeren, maar ik zie het niet.
18-12-2009, 11:11 door Anoniem
Door Anoniem:
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.

Hoezo? Bij MITB wijzigen ze dat wat je naar de bank stuurt, maar niet dat wat je van de bank krijgt. Een TAN die via sms wordt toegestuurd is dus nog steeds te beinvloeden.
Als ik 100 euro wil overmaken naar giro 555, maar dat wordt door een mitb of mitm veranderd naar 10000 euro naar giro 666, dan zie ik in mijn verificatie-sms dat ik 10000 euro ga overboeken naar giro 666. Dan zal zelfs mijn moeder de tancode niet overtoetsen!
18-12-2009, 14:54 door Anoniem
Door Anoniem: En iedereen al jaren zeiken dat de Postbank de zwakste authenticatie had, maar het sms-systeem van (thans) ING is wel mooi een out-of-band verificatie. Moet je alleen niet met je mobiel waarop je de sms'jes ontvangt ook gaan internetten, want dan heeft de crimineel aan één Trojaans paard genoeg.

Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.

Peter
19-12-2009, 11:25 door ej__

Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.

Peter

En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.

EJ
04-01-2010, 14:56 door carolined
Door ej__:

Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.

Peter

En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.

EJ

Je vergeet dat je de kaartlezer helemaal niet hoeft te stelen om een man in the middle aanval uit te voeren.
Dat tegenover het feit dat je én de inlog naam én de telefoon moet stelen in het postbank geval.

Nee... het postbank systeem is veel beter dan jij ons wilt laten geloven.. :-)
Carol
04-01-2010, 15:27 door ej__
Door carolined:
Door ej__:

Er wordt in het artikel aangegeven dat die SMS-jes opgevangen kunnen worden door ze om te leiden. De postbank (met z'n TAN codes op papier) hebben een echte out-of-band oplossing. Alleen moet je dan voorkomen dat mensen op grond van een phish grotere aantallen TAN's gaan invoeren in foute websites.

Peter

En je moet voorkomen dat dat papiertje of je telefoon wordt gestolen. Diefstal van een kaartlezer is heel veel minder lucratief. Het postbank systeem is niet zo goed als sommigen hier willen doen geloven.

EJ

Je vergeet dat je de kaartlezer helemaal niet hoeft te stelen om een man in the middle aanval uit te voeren.
Dat tegenover het feit dat je én de inlog naam én de telefoon moet stelen in het postbank geval.

Nee... het postbank systeem is veel beter dan jij ons wilt laten geloven.. :-)
Carol

Duh, een systeem waar geen MITM mogelijk is tegen een systeem waarbij dat wel kan (postbank), zie ook het type nokia die identiteit van een andere telefoon kan overnemen...

Weet ik meer dan jij? :)

Ik zal never ever een postbank rekening nemen. Ik adviseer ook anderen dat niet te doen.

EJ
10-01-2010, 18:30 door Anoniem
Kom nu eens met een door feiten onderbouwd verhaal?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search