"98% Nederlanders wil veiliger internetbankieren"
98% van de Nederlanders die beveiligingsbedrijf RSA ondervroeg wil veiliger internetbankieren. "Ondanks de massale adoptie van online banking maakt de overgrote meerderheid van de respondenten zich wel zorgen over de veiligheid van het systeem", zo stelt de beveiliger. Honderd procent van de Nederlandse ondervraagden zegt gereld online te bankieren. "98 procent gaf aan absoluut gebruik te willen maken van zwaardere authenticatiemethoden om de veiligheid van online bankieren te garanderen." Iets dat RSA als aanbieder van authenticatie-oplossing goed uitkomt. Ondanks de indrukwekkende percentages, is het onduidelijk hoeveel mensen er ondervraagd zijn.
Reacties (21)
Tevens is onduidelijk wat het kennisniveau van de ondervraagden is. Weten de ondervraagden uberhaupt wel welke authenticatiemethoden er op het moment bij hun bank gebruikt worden?
"Tevens is onduidelijk wat het kennisniveau van de ondervraagden is. Weten de ondervraagden uberhaupt wel welke authenticatiemethoden er op het moment bij hun bank gebruikt worden?"
Waarschijnlijk niet. Veel berichten over zwakheden in de systemen gaan over internetbankieren in andere landen, waar zwakkere authenticatie gebruikt wordt. Verder ligt de grootste zwakheid niet in de authenticatie, maar in beveiliging van de client.
D.w.z. het risico van malware, welke wijzigingen zouden kunnen maken in een betaalopdracht (nadat je je 'betrouwbaar' authenticeert - geen authenticatie probleem dus) en in zaken waar een bank niet veel aan kan doen, zoals phishing om aan iemand zijn gegevens te komen en deze te misbruiken, bijvoorbeeld via fake websites van banken.
Overigens ken ik in Nederland niemand wiens internetbankieren ooit is gehacked, en er zijn op dat gebied ook weinig of geen incidenten geweest waarbij systemen voor internetbankieren werden gekraakt.
(De postbank is trouwens een uitzondering, zij gebruiken een zwakkere vorm van authenticatie doordat zij geen random reader of een soortgelijke token gebruiken tenzij hier inmiddels verandering is aangebracht).
Waarschijnlijk niet. Veel berichten over zwakheden in de systemen gaan over internetbankieren in andere landen, waar zwakkere authenticatie gebruikt wordt. Verder ligt de grootste zwakheid niet in de authenticatie, maar in beveiliging van de client.
D.w.z. het risico van malware, welke wijzigingen zouden kunnen maken in een betaalopdracht (nadat je je 'betrouwbaar' authenticeert - geen authenticatie probleem dus) en in zaken waar een bank niet veel aan kan doen, zoals phishing om aan iemand zijn gegevens te komen en deze te misbruiken, bijvoorbeeld via fake websites van banken.
Overigens ken ik in Nederland niemand wiens internetbankieren ooit is gehacked, en er zijn op dat gebied ook weinig of geen incidenten geweest waarbij systemen voor internetbankieren werden gekraakt.
(De postbank is trouwens een uitzondering, zij gebruiken een zwakkere vorm van authenticatie doordat zij geen random reader of een soortgelijke token gebruiken tenzij hier inmiddels verandering is aangebracht).
Ik heb liever veiliger pinnen. Met internet bankieren is niet zoveel mis. Maar pinnen slaat werkelijk alles.
20-01-2010, 18:18 door
Goeroeboeroe
Als 100% aangaf - nog wel regelmatig - online te bankieren, dan vermoed ik dat ze bij de een of andere bank gewoon 100 klanten hebben ondervraagd tijdens het bankieren. In mijn omgeving ken ik tig mensen die geen internet hebben.
>> "Overigens ken ik in Nederland niemand wiens internetbankieren ooit is gehacked"
Sterk argument hoor, misschien kruip je wel net onder een steen vandaan.
Nog steeds kom ik massa mensen tegen die lekker zitten te surfen op een administrators account.
Genoeg mogelijkheden voor malware om schade toe te brengen, ook bij internet bankieren.
Sterk argument hoor, misschien kruip je wel net onder een steen vandaan.
Nog steeds kom ik massa mensen tegen die lekker zitten te surfen op een administrators account.
Genoeg mogelijkheden voor malware om schade toe te brengen, ook bij internet bankieren.
Door Anoniem: (De postbank is trouwens een uitzondering, zij gebruiken een zwakkere vorm van authenticatie doordat zij geen random reader of een soortgelijke token gebruiken tenzij hier inmiddels verandering is aangebracht).
En de ING heeft in alle wijsheid besloten dat systeem over te nemen.
Toch vind ik het systeem niet onveilig zolang je wachtwoord maar goed genoeg is, en de betaling wordt pas verwerkt na het invullen van de TAN code.
Inderdaad zwakker dan een random reader, maar wel handiger on the road.
20-01-2010, 20:29 door
Necrowizard
Dit lijkt me een beetje dom onderzoek
Als je een willekeurig iemand vraag "Hey.. wil je veiliger [...]" zegt 98% van de mensen waarschijnlijk sowieso gewoon "Ja, waarom niet", ook al hebben ze geen idee hoe het momenteel met de veiligheid zit
Als je een willekeurig iemand vraag "Hey.. wil je veiliger [...]" zegt 98% van de mensen waarschijnlijk sowieso gewoon "Ja, waarom niet", ook al hebben ze geen idee hoe het momenteel met de veiligheid zit
21-01-2010, 07:43 door
carolined
Door Anoniem: (De postbank is trouwens een uitzondering, zij gebruiken een zwakkere vorm van authenticatie doordat zij geen random reader of een soortgelijke token gebruiken tenzij hier inmiddels verandering is aangebracht).
Van de Postbank is bekend dat juist hun authenticatie methode "beter" is dan die van de andere banken. De Postbank oplossing is ongevoelig voor de Man in the Middle aanval, waar de andere banken, met de rekenkastjes dit risico wel lopen.
Dit is het gevolg van het tweede kanaal, SMS, dat de Postbank gebruikt.
Daarmee is deze oplossing niet alleen veilig, maar ook zeer gebruikersvriendelijk. Ik hoop dan ook van harte dat zij dit systeem niet zullen verlaten.
en Nee... ik werk niet voor de Postbank. ;-)
21-01-2010, 08:33 door
Kyentei
Geef ze dan een live-cd van linux ubuntu. Gebruiksvriendelijk voor de thuis gebruiker, en enorm veel veiliger. ;-)
Door Kyentei: Geef ze dan een live-cd van linux ubuntu. Gebruiksvriendelijk voor de thuis gebruiker, en enorm veel veiliger. ;-)
Ik hoor het vaker, maar dat lijkt me een weinig pragmatische methode.Het werkt twee weken goed, maar daarna zijn er, ook voor Ubuntu, patches uitgebracht die beveiligingslekken verhelpen. Niet alles zal dusdanig ernstig zijn dat een aanvaller op afstand de boel kan overnemen, maar het is onvoorspelbaar hoe dat zal verlopen. Dan heb je twee keuzes:
1. Je adviseert ze na het starten eerst even alle updates te laden (na een half jaar zijn er zo veel dat je daar een uur mee bezig bent);
2. Je geeft ze iedere maand een nieuwe live-cd.
Oplossing 1 wordt niet door de gebruiker geaccepteerd. De gebruiksvriendelijkheid is er dan wel vanaf.
Oplossing 2 kost een bank meer dan af en toe de schade van een aanval vergoeden en heeft dus geen gerechtvaardigde business case.
Het spijt me zeer om jullie uit een droom te helpen, maar alle banken in Nederland zijn gevoelig voor Man-in-the-Browser aanvallen ook die met TAN SMS codes, tenzij beide het rekeningnummer en bedrag in het SMS staat. Aangezien dit nog niet het geval is, alleen het bedrag staat aangegeven, is het (nog steeds) mogelijk om een Man-in-the-Browser aanval te doen.
Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
21-01-2010, 10:40 door
carolined
Door Anoniem: Het spijt me zeer om jullie uit een droom te helpen, maar alle banken in Nederland zijn gevoelig voor Man-in-the-Browser aanvallen ook die met TAN SMS codes, tenzij beide het rekeningnummer en bedrag in het SMS staat. Aangezien dit nog niet het geval is, alleen het bedrag staat aangegeven, is het (nog steeds) mogelijk om een Man-in-the-Browser aanval te doen.
Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
Dank voor de link, globaal even doorgescand. Volgens mij ben ik niet degene die in een droom leeft.
In hoofdstuk 4.1 staat letterlijk dat de postbank methode de enige is die tegen een man in de middle aanval kan.
In de SMS staat "altijd" het bedrag aangegeven.
Als het bedrag hoger wordt dan een bepaald niveau (ergens boven de 1000 dacht ik) dan wordt ook de hoogste boeking plus laatste cijfers van het rekeningnummer toegevoegd.
Inhoud van een ING-SMS:
"Totaalbedrag overboekingen E 1.088, 56
Volgnummer 123
TAN-code 123456"
(Volgnummer en TAN-code zijn uiteraard fictief)
Ik meen me te herinneren dat ik ook al wel eens een nummer van een tegenrekening heb gezien, maar dat zal dan wellicht bij een overboeking groter dan die 1088 euro van hierboven zijn geweest.
Het grote probleem met zo'n SMS, hoe zinvol het ook is dat die out-of-band gestuurd wordt, is dat er (niet-representatieve steekproef in een academisch geschoolde omgeving) niet zoveel mensen zijn die ook daadwerkelijk het SMS-bericht bestuderen alvorens zij de TAN-code inkloppen.
"Totaalbedrag overboekingen E 1.088, 56
Volgnummer 123
TAN-code 123456"
(Volgnummer en TAN-code zijn uiteraard fictief)
Ik meen me te herinneren dat ik ook al wel eens een nummer van een tegenrekening heb gezien, maar dat zal dan wellicht bij een overboeking groter dan die 1088 euro van hierboven zijn geweest.
Het grote probleem met zo'n SMS, hoe zinvol het ook is dat die out-of-band gestuurd wordt, is dat er (niet-representatieve steekproef in een academisch geschoolde omgeving) niet zoveel mensen zijn die ook daadwerkelijk het SMS-bericht bestuderen alvorens zij de TAN-code inkloppen.
21-01-2010, 11:47 door
carolined
Door Anoniem: Het grote probleem met zo'n SMS, hoe zinvol het ook is dat die out-of-band gestuurd wordt, is dat er (niet-representatieve steekproef in een academisch geschoolde omgeving) niet zoveel mensen zijn die ook daadwerkelijk het SMS-bericht bestuderen alvorens zij de TAN-code inkloppen.
Correct. Tegen de nonchalante gebruiker is geen kruid gewassen. Het laat niet onverlet dat de methode in principe MitM-proof is, mits we met een verantwoordelijke gebruiker te maken hebben.
Dit probleem duikt natuurlijk vaker op in de beveiligingswereld en is een halve dooddoener.
Internetbankieren is gewoon niet safe klaar. Het gaat erom wie de risico's neemt en dan kan het safe zijn voor de eindgebruiker als hij niet de risicodrager is.
Door Anoniem: Internetbankieren is gewoon niet safe klaar. Het gaat erom wie de risico's neemt en dan kan het safe zijn voor de eindgebruiker als hij niet de risicodrager is.
Internet bankieren is nog steeds veel veiliger dan overschrijfkaarten. Gewoon een false handtekening en klaar. Honderd procent veilig zal het nooit worden en of het veiliger gemaakt dient te worden, hangt af van de risco analyse. Dat haal ik niet uit het rapport. Wat is nu de kans op MitM en wat zijn de kosten van beveiliging.Hier lijkt nog steeds een behoefte aan zo groot mogelijke veiligheid, zonder het kostenaspect in ogenschauw te nemen.
21-01-2010, 13:20 door
monica8
Ik maak mij meer bezorgd over het kennis nivo bij de banken!
Door Anoniem: Het spijt me zeer om jullie uit een droom te helpen, maar alle banken in Nederland zijn gevoelig voor Man-in-the-Browser aanvallen ook die met TAN SMS codes, tenzij beide het rekeningnummer en bedrag in het SMS staat. Aangezien dit nog niet het geval is, alleen het bedrag staat aangegeven, is het (nog steeds) mogelijk om een Man-in-the-Browser aanval te doen.
Zie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
alles kan gekraakt worden niet alles kan even snel gekraakt wordenZie: https://www.os3.nl/_media/2008-2009/courses/rp-2/dvde_th_report.pdf?id=archive%3Aresearch_projects&cache=cache
voor meer informatie over online bankieren aanvallen en verdedigingen.
Zo ken ik er ook een paar.
98% van de mensen wil veiliger over straat
98% van de mensen wil een hoger salaris
98% van de mensen wil een einde aan aardbevingen
98% van de mensen wil meer zinnig nieuws op internet
98% van de missen wil wereldvrede.
98% van de mensen wil veiliger over straat
98% van de mensen wil een hoger salaris
98% van de mensen wil een einde aan aardbevingen
98% van de mensen wil meer zinnig nieuws op internet
98% van de missen wil wereldvrede.
als je veiliger wilt internetbankieren , kan je een aparte computer gebruiken alleen voor het internetbankieren en als je vista of lager gebruikt kan je windows steadystate gratis downloaden en instaleren . ( steadystate is er dacht ik nog niet voor 7 )
veel veiliger kan het niet naar mijn mening . gebruik dan natuurlijk wel een account met zo weinig mogelijk rechten . ( veiliger )
steadystate is te downloaden op de microsoftsite .
Jeroen .
veel veiliger kan het niet naar mijn mening . gebruik dan natuurlijk wel een account met zo weinig mogelijk rechten . ( veiliger )
steadystate is te downloaden op de microsoftsite .
Jeroen .
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.