Het is mogelijk voor phishers om in te loggen, het mobiele nummer te veranderen en zo codes te ontvangen. Natuurlijk is dat niet veilig.

Er is geen enkele reden om codes via telefonie te versturen.

*Anoniem
/*Het is mogelijk voor phishers om in te loggen, het mobiele nummer te veranderen en zo codes te ontvangen. Natuurlijk is dat niet veilig.

Er is geen enkele reden om codes via telefonie te versturen.*/

en als je alleen het nummer kan veranderen met een bevestiging sms naar je het "oude nummer"
jij zaait meer angst.

Wat een bullshit.

Het mooie van een code/wachtwoord via je mobiele telefoon ontvangen, is dat het twee totaal andere communicatiekanalen zijn. Een virus/trojan/andere malware op je computer kan dus niet je onderscheppen wat er via je telefoon gaat. Als je het per e-mail binnen krijgt, kan dezelfde malware alles onderscheppen.

Een phisher kan dit ook niet omzeilen, mits goed geïmplementeerd. Een standaard methode bij het wijzigen van het telefoonnummer is dan een bevestigingscode naar het oude nummer sturen en weer op de site laten invoeren, voordat het nieuwe nummer geaccepteerd wordt. Kwaadwillenden MOETEN dan controle over je telefoon(verbinding) hebben voordat ze het telefoonnummer kunnen wijzigen. Is allemaal wel mogelijk, maar dan ben je wel slachtoffer van pro's die jou als specifiek doelwit uitgekozen hebben. En dat is normaal gesproken niet het geval.

Als er al malware op je telefoon staat moet deze ook nog eens ontzettend gecoördineerd samenwerken met malware op de computer. Dit lijkt me de eerste tig jaar vrijwel onmogelijk, tenzij je het slachtoffer bent van pro's die het speciaal op jou voorzien hebben.

Jat een telefoon, jat een bankrekening.
Niks meer, niks minder.

Tan codes (als je al een noodzaak ziet ze te gebruiken) moeten niet via email worden verstuurd.

Waarom zou je een telefoonummer willen veranderen? Dat wil je uiteraard alleen als je een ander nummer hebt, en dan heb je doorgaans geen beschikking meer over het oude nummer. Wat doe je dan?

Tan codes worden per post verstuurd en op papier bewaard. Dat is een stuk veiliger dan het apparaat dat je overal mee naar toe neemt.

en jij weet precies welke bankrekening bij welke mobiele telefoon hoort?
knap hoor :)

Nee, gebruik je mobiele telefoon om te internetbankieren zoals Postbank jaren geleden voorstelde. Dat is pas veilig. O, wacht... <evil grin>

Als mensen beroofd worden raken ze vaak zowel hun portemonnee (met pinpas = rekeningnummer), als hun mobiel kwijt. Met die laatste is het nu dus mogelijk je wachtwoord te laten resetten.
De gebruikersnaam hebben veel mensen op 'onthouden' staan op hun PC of mobiel waarmee gebankierd wordt, en dan zijn alle benodigdheden in het bezit van de dief, na deze simpele zakkenrol/diefstal

Dus, dit is duidelijk een verslechtering van de beveiliging van het internetbankieren bij de ING.
Wie is aansprakelijk voor de gevolgen hiervan? De ING of de klant zelf?

Toevallig had ik het hier gisteren over met m'n vrouw. Stel we kopen een goedkoop mobieltje uitsluitend voor het TAN-code verhaal en laten die thuis liggen (goed opgeborgen). Wat zijn daar volgens jullie de voor en nadelen van?

Wat is er mis met tancodes op papier?

dit bericht is geschreven voor Bitwiper, en de ge-quote Anoniem gebruiker.

Aller eerst, Tancodes op Papier is zeer slecht. mochtje papiertje weggooien (perongeluk) of (met zin) omdatje denkt dat dit geen kwaad kan, FOUT!.. Hackers/Fishers (ook wel Phishers) & Trashers, doorzoeken vuilniszakken opzoek naar dit soort papiertjes.

Ten Tweede, het probleem beschreven door Bitwiper;
het is allemaal erg leuk bedoelt allemaal, een 'Speciale' Telefoon aanschaffen, en die Alleen voor Tan codes te gebruiken. is ook niet een slimme optie. aangezien Simkaarten kunnen worden gekopieert of Telefoons kunnen worden gestolen bij een inbraak of iets dergelijks.

ik raad u het volgende aan om te doen:

Stap over naar Rabobank. enja deze is waarschijnlijk iets duurder in de Service kosten die jaarlijks verschijnen. Maar dan heb je ook wat!

Allereerst: een SSL (httpS:// <--- Let op de S ALTIJD!!!) verbinding van jouw computer naar de Server van rabobank, wat het onmogelijkmaakt voor een buurman of 'drive-by' hackers te 'sniffen' en jouw gegevens mee te lezen.

Ten Tweede:
krijg je een Random Reader, die je gewoon bij je pc kunt bewaren of in huis kunt laten rondslingeren (geen probleem)
De RandomReader van Rabobank vraagt jouw pasje in erin te steken, dan vraagtie om jouw pincode (buiten internet of Radio Freq basis om) waarna je en Code Tijdelijke (soort gelijke) Tan-Code krijgt. die voerje in op de site van RaboBank, samen metje Pas Nr & Rekening Nr. en je klikt op inloggen!

De SSL (HttpS://) voorkomt meeglurende ogen doormiddel van een Ge-encrypteerde 'Tunnel'.
Zelfs je Internet provider of een Man-In-the-middle aanval kan dit NIET meelezen. (erg veilig dus)

en Onthoud dat er GEEN Privacy bestaat op internet... echt Geloof me, GEEN!.
Mochtje gevoellige gegevens willen verzenden naar via het internet, Raad ikje aan het bestandje of info te Encrypten, en een VPN van BlackVpn.com te gebruiken. Geen Snelheids verlies (misschien n beetje maar t scheelt haast niks!) en toch benje erg goed beveiligd.

Ik doe dat nooit van mijn leven,want berichten naar de mobiele telefoon zijn ook te onderscheppen.
Het is dus niets veiliger dan internetbankieren.

Dank voor jouw reactie, maar een inbreker die mijn dedicated GSM thuis steelt kan ook m'n RandomReader manipuleren (pincode laten registreren en later terugkomen om deze uit te lezen). Als ik zo'n RandomReader of zo'n GSM in een kluis bewaar zie ik het verschil in de risico's niet zo. Het klopt dat SMS valt te onderscheppen, maar dan moet de aanvaller in de buurt zijn en daarop uit zijn (en m'n password voor internetbankieren kennen). Dat risico acht ik (op dit moment) verwaarloosbaar.

Overigens lees ik hier: http://forum.fok.nl/topic/750003 dat de RandomReader een foutmelding geeft als je een verkeerde pincode invoert. Nou da's lekker! Ervan uitgaande dat alle readers identiek zijn (jouw reader dus niet gekoppeld is aan jouw pas) betekent dat iemand met zo'n reader, die jouw pas steelt, op z'n gemakkie jouw pincodes kan gaan proberen totdat het ding niet meer klaagt! Briljant (of wist ie je pas na 3 foute codes?)

Als zo'n reader wel gebonden is aan jouw pas kan een inbreker, in plaats van mijn GSM te stelen, jouw pas en RandomReader stelen en daarmee, na wat brute-forcing, je rekening plunderen.

Ik vermoed dat de risico's die het inzetten van een relatief oud GSM toestel (dat bijna iedereen tegenwoordig nog wel ergens heeft liggen) vergelijkbaar zijn of zelfs gunstiger uitpakken dan met de (toegegeven andere) risico's die je loopt met zo'n RandomReader.

Dat je voor internetbankieren https moet gebruiken is evident. Overigens heeft de Rabobank niet zo'n heel beste reputatie op dit punt (zie onderaan http://my.opera.com/community/forums/topic.dml?id=113953&t=1275340997&page=1#comment1248411, behalve dat Rabobank in 2005 nog het gekraakte SSL v2.0 ondersteunde, was hun server zo oud dat ie SSL v3.0 of TLS v1.0 uberhaupt niet accepteerde).

Aanvulling: ik lees hier:http://www.rabobank.nl/particulieren/servicemenu/veiligheid/wat_doet_de_rabobank/veilig_bankieren/Een aanvaller zal dus een gemanipuleerde RandomReader moeten hebben die schrijfacties naar de chip op de pas blokkeert, voor zover er geen aanvullende beveiligingsmaatregelen zijn.

Dan blokkeert hij bij de 3de poging en moet je contact opnemen. Hij blijft echter wel bruikbaar in de betaalautomaten.
(bron:http://www.rabobank.nl/images/handleiding_randomreadercomfort_2974981.pdf)

De discussie dwaalt nogal af, de wijziging van de ING is dat je je wachtwoord nu via je telefoon kunt resetten, in plaats van dat je daarvoor naar het postkantoor moet. Dit lijkt me een (niet te verwaarlozen) verslechtering van de beveiliging van het internetbankieren bij de ING.

Ik ben het met je eens dat overstappen naar Rabo niet een direct antwoord op de vraagstelling is.

Ik ben het echter niet zomaar met je eens dat account-wijzigingen per telefoon v.w.b. security een verslechtering zijn t.o.v. daarvoor naar een postkantoor gaan. De criminelen waar we mee te maken hebben draaien heus hun hand er niet voor om om een identiteitsbewijs te vervalsen. Op "bejaajden" na komen klanten nog nauwelijks naar postkantoren (maar die bejaajden doen dat omdat ze niet internetbankieren). De kans dat een medewerker een crimineel, die zich voordoet als een klant, weigert omdat hij die (internetbankierende) klant niet herkent, lijkt me nihiel. Het enige nadeel voor de crimineel is dat hij mogelijk gefilmd wordt, maar of dat gebeurt in alle postkantoren en kleine agentschapjes waag ik te betwijfelen.

Vandaar mijn vraag of een mobiele telefoon, die (1) lastig te ontvreemden is (door deze thuis op een veilige plaats op te bergen), (2) niet beschikt over overbodige (computer-/internet-) functionaliteit (en/of daar niet voor gebruikt wordt) en die (3) niet 24x7 "aan het internet hangt", wellicht een goed alternatief vormt voor de oude postkantoorbezoekmethode. En zo niet, waarom niet.

Je kunt het gebruik van de mobiele telefoon dusdanig beperken dat het een vrij veilig middel wordt, zoals je beschrijft. Mee eens. Het probleem echter is dat de gemiddelde ING-klant zijn (enige) mobiel gewoon gebruikt als mobiel, dus bij zich heeft en zijn (bank)zaken daarop doet. Verlies of diefstal daarvan is een groot risico, gecombineerd met deze nieuwste aanpassingen van de ING.

Een extra hindernis (voor de ING juist de reden om hier van af te willen) van de oude methode van het wachtwoord-reset via het postkantoor is de vertraging van een aantal dagen die deze methode met zich meebrengt. Voor een potentiele dief is dit niet aantrekkelijk, voor de veiligheid van de methode is dit dus juist goed.

@bitwiper: heb je wel eens geprobeerd een (tamper proof) random reader te manipuleren? Probeer het eens, en laat zien dat dat succesvol kan worden gedaan (en niet wordt gezien door de bank).

De beveiliging van rabo is ontzeggenlijk van een andere orde dan die van ing, hoe hard ze ook blijven roepen.

ING: usernaam/wachtwoord (op de pc opgeslagen) rabo: inloggen met 2 factor
Hoeveel mensen doen aan internet bankieren op hun telefoon, op _dezelfde_ telefoon waar ze hun tan codes op ontvangen? Vergeet niet dat indertijd (2000-2001) de postbank al propageerde om via de mobiele telefoon te bankieren.

TAN codes, of die nu per papier, sms of postduif worden bezorgd zijn te onderscheppen en te manipuleren. Dat is met 2factor zoals rabo en fortis gebruiken een heel stuk moeilijker (hash loopt over grotere bedragen ook over het bedrag _en_ over het ontvangende rekeningnummer). Hier tussenin zit abn/amro (zelfde manier van authorisatie voor inloggen als voor betalingen). De positie van de andere banken hierin ken ik niet, geen rekening bij (gehad).

EJ

De Rabo methode is in principe gevoelig voor een Man in the Middle attack.
De ING methode met de TAN-code over het aparte kanaal niet.

Ik vind het sturen van een SMS-je op zich een goed idee. Ik ben alleen bang dat ze dan ook de TAN codes naar mijn mobieltje gaan sturen. Die wil ik juist op papier houden.

Maar niets zo irritant als 5 dagen wachten op je inlog codes na drie keer fout invoeren, waarvan je gewoon zeker weet dat je ze goed hebt ingevuld, en dan één brief gewoon over de post, en de tweede moet afhalen op het postkantoor.

Maar voor mijn veiligheid houd ik het dan liever op de oude manier. Ik vind de tussenkomst van een mobieltje juist een extra veiligheidsrisico.

At EJ, ING is ook 2 factor. Ten eerste om de gegevens te bekijken naam en wachtwoord. (De naam kun je op je PC opslaan) en wil je daadwerkelijk iets overschrijven heb je de willekeurige tan code nodig. Er staan er 100 op je papieren lijst, maar de volgorde wordt niet aangehouden.

Beter lezen. Rabo is daar niet gevoelig voor (hash van bedrag en ontvangend rekening nummer). ING juist wel als je via je mobiel bankiert.

EJ

Nee, het gaat juist om tan codes per sms en wachtwoord per sms. Bankieren op je telefoon wordt zo wel erg onveilig en heb je ineens geen 2factor meer. Wat je hebt en wat je weet is hetzelfde ding. Denkfout bij ING.

EJ

Omdat tot nu toe alles te tamperen bleek wat als "tamper proof" was beschreven, moet je mijns inziens stellen dat spullen die als zodanig worden aangeduid hooguit "tamper resistant" zijn, in elk geval totdat wordt bewezen dat een object "tamper proof" te maken is (maar dat bewijs leveren zal je niet meevallen, ontkrachten is vaak een stuk eenvoudiger ;)

Hoewel het me leuk lijkt dat soort onderzoek te doen heb ik er geen tijd voor (in een ver verleden heb ik wel eens via een firmware-patch-tool van Western Digital kunnen achterhalen dat harddisks van het type WDAC31600, lang voordat er sprake was van SMART, intern al een bedrijfsurenteller bijhielden - dat was lekker hacken).

Maar er zijn genoeg anderen die momenteel dit soort onderzoek uitvoeren. Je wordt op je wenken bediend in deze (Duitstalige) melding van 02.06.2010 11:29 getiteld "Kartenleser von Kobil gehackt" op http://www.heise.de/security/meldung/Kartenleser-von-Kobil-gehackt-1013021.html.

Dat is een _heel_ _ander_ ding. Ook al krijg je namelijk de token generator open, je kunt er nog steeds helemaal niets mee. Denk je niet dat deze token generator een geliefd doelwit van criminelen is? Een soort van heilige graal? Net als de RSA tokens trouwens...

Dus nee, ik geloof je simpelweg niet. Ook omdat ik toch enig inzicht in de werking (en dat is een heel andere dan dat ding waar jij naar verwijst) heb. Je moet namelijk ook even de 'bank' zijde hacken. Het is een symmetrisch gebeuren, beide tokengeneratoren moeten tot dezelfde herleidbare resultaten komen. Dat zie je over het hoofd.

EJ

Nee, wat ik bedoel is dat ik me afvraag of een aanvaller met een gestolen pas en een RandomReader de pincode van die pas kan achterhalen, zonder enige verbinding met de bank:
Blokkeren van de pas voor internetbankieren zal moeten betekenen dat er iets in die pas gewijzigd wordt (als ik de website goed begrijp is de pas daarna nog wel bruikbaar voor pinnen). De vraag is hoe "slim" de chip op de pas is en wat de rol van de lezer is. Het zou kunnen dat de paslezer een hash genereert op basis van de ingevoerde pincode en die naar de chip op de pas stuurt ter vergelijking. Als de chip in de pas het aantal foute verzoeken bijhoudt, dan werkt deze aanval niet. Echter als de chip op de pas niet het aantal foute pogingen bijhoudt, maar de paslezer dit doet en een opdracht naar de chip stuurt om na een aantal retries de pincode te blokkeren, heb je een potentieele aanvalsvector.

Daarnaast blijft de mogelijkheid voor aanvallers bestaan om bij je in te breken en jouw RandomReader van aangepaste firmware te voorzien (vergelijkbaar met de Kobil lezer aanval), of om deze door een geprepareerd exemplaar te vervangen, en wat later terug te komen om zowel je pas als de reader (met daarin de geregistreerde pincode) te ontvreemden. Zo ondenkbaar is dat niet, er zijn ook autodieven die in huizen inbreken om autosleutels te bemachtigen.

@Bitwiper: Nee, je kunt niet zonder verbinding met de bank de code achterhalen: na 3 keer fout lockt de chip.
Random reader is inderdaad niet gebonden aan een pas. Om bovengenoemde reden maakt dat geen ruk uit.

En ja, de paslezer genereert een hash en biedt deze aan aan de chip. Encrypted. :) Manipulatie is derhalve niet echt mogelijk tenzij je het certificaat van de bank achterhaalt waarmee de chip wordt getekend. Dan is de random reader echt niet meer je zorg, maar heeft de bank een enorm probleem.

Neemt niet weg dat de methode van de ING, want daar ging dit topic over een achterhaalde methode is. Het is helemaal geen 2factor als je het ook maar enigszins verkeerd gebruikt. 2Factor mag niet dit soort dommiteiten bevatten...

EJ

Wat er mis mee is ? .... , eeeehmmm de bomen die er voor gekapt moeten worden ?

Mn langedijkver geten wachtwoord