Dit is dan ook iets wat de banken voor je regelen. Zouden moeten regelen. Iets wat ze best weer eens mogen doen, in plaats van de zorgen over hun brakke "producten"* en de opgedrongen toegangsmethodes op de klant af te schuiven.


* "Financieele producten" zijn geen producten. Vaak niet eens diensten, maar duurbetaalde vage beloftes.

Ik ben het eens met dit artikel, evenals de meerderheid van de mensen die menen geen zorgen te hoeven maken over telebankieren.

Ik denk dat het binnen 5 jaar uitdraait op een van de volgende scenario's:

1. Een secure OS (met hoge waarschijnlijkheid geen windows) met cliënt software op een usb-stick-computer welke dan niet meer zal kosten dan 20 euro of minder en alleen gebruikt kan worden voor hiervoor genoemde doeleinden. Uiteraard write once, die je simpelweg in je monitorscherm of tv plugt. Samen met een 2 phase tokenizer (hardware).
2. Een app in een secure VM welke in de sandbox draait van het mobiele device. Samen met een 2 phase tokenizer (hardware).

De rest van toegang c.q. teleknoeien kan op één vuilnishoop (securitywise)

Mijn 2 centen

Op 24-05-2014 werd door VARA Kassa aandacht besteed aan een MITm aanval op https (SSL/TLS) verbindingen.

In de uitzending werd aandacht besteedt aan security maatregelen die klanten konden nemen met internetbankieren.
Eén daarvan was te kiezen voor het internetbankieren met een browser die HSTS ondersteunt zodat de hele verbinding versleuteld zou zijn. Banken zouden dit implementeren of hadden dat al gedaan (?).

Op 27-05-2014, een selectie van 12 banken bekeken die internetbankieren aanbieden en een controle gedaan op geïmplementeerde toepassing van de HSTS header op de website. *
Maar 'liefst' 7 banken van de 12 hadden HSTS functie niet op de website geïmplementeerd, in ieder geval niet op te maken uit de 'Response Header'.

Vandaag 4 juni, 11 dagen na de 'spraakmakende' uitzending is dat resultaat nog steeds hetzelfde.

Dat Nederlanders zich volgens onderzoek weinig zorgen maken over de veiligheid van het internetbankieren is op zich al verbazend nieuws.
Maar als je zelf niets snapt van techniek geloof je maar dat de bank zegt dat het veilig is, heel voorstelbare uitkomst dan.

Veel verbazender vind ik het dat ook een meerderheid (?) van banken die internetbankieren aanbieden, zelfs na de Kassa uitzending, niet de moeite hebben genomen het internetbankieren met de simpele (?) HSTS maatregel wat veiliger te maken.

Nog verbazender vind ik het, ik zit nog overeind hoor, dat ook hier, de plek bij uitstek als het gaat om security tumult over internetbankieren, je verder niemand hoort over deze achterblijvende security handelswijze van banken.

Hoe komt dat?
Heeft betrokkenheid zo'n korte spanningsboog? Nieuws uit het oog, nieuws uit het hart? Lege bankrekening en dus geen interessante constatering? Bankhouder bij een bank die het wel op orde heeft dus verder 'niet interessant'? Zijn alleen nieuw aangekaarte zaken in de media interessant maar erop terugkomen of zaken ook worden waargemaakt niet?
(zomertijd kwamkwammertijd?)

Heel apart.

* https://www.security.nl/posting/389177#posting389627

Toen ik die uitzending gezien had heb ik meteen in de data manager in de browser gekeken, geconstateerd dat er
voor mijn bank geen HSTS info stond, de website bezocht, en toen stond die er wel.
Kennelijk inderdaad geimplementeerd.
(op de sites op het werk had ik dat al een jaar eerder gedaan, maar goed een bank kan de security natuurlijk nooit
zo goed op orde hebben als een simpele beheerder die zo'n header in een paar minuten kan toevoegen zonder
ellenlange RIA en CAB toestanden)

Wat andere banken doen maakt me niet zo veel uit, eigenlijk. Als mij eigen bank het maar goed doet.

Iets breeder dan alleen technisch gekeken is het inderdaad zo dat als de andere banken omvallen jouw bank, en dus jij, daar geen last van ;-)

my friendly dime