Complexer, ja. Veiliger? Uhm. Leg uit?

Het idee is dat het in principe even veilig zou zijn als het gebruik van een randomreader en dergelijke. En dat dat veiliger zou zijn dan de methode met TANcodes per SMS.

In feite combineert het het gemak van geen extra apparaat nodig hebben, met de veiligheid van het terplekke genereren van de TAN-code (en daarbij dus mogelijk ook transactie eigenschappen in die code kunnen verwerken).

De vraag is inderdaad of de combinatie van smartphone app en NFC interface net zo veilig is als een gesloten en niet-draadloos apparaat als een random reader. Mits goed geïmplementeerd kan dat prima veilig zijn, waarmee het in potentie dus veiliger is dan de 'TAN-code per SMS' methode.

De mobiele telefoon is niet veilig dus gebruiken we de smartphone... eh, wat?

Als ik het goed begrijp gebeurt het volgende:
- De bank-website toont transactiegegevens in de vorm van een QR-code.
- Op je smartphone start je de bank-app en scant daarmee die QR-code.
- Die laat de transactiegevens zien (visueel controleren), en stuurt die of misschien een hash daarover als challenge naar de bankkaart via NFC.
- De bankkaart genereert aan de hand van die challenge een response die wordt teruggestuurd naar de smartphone.
- De smartphone toont die response en de gebruiker tikt hem over in de webpagina en verstuurt hem.

Het is dus een challenge-response-mechanisme dat (vanwege het kunnen tonen op de smartphone van transactiegegevens) de transactiegegevens zelf of misschien een hash erover als challenge gebruikt, en wat ze een TAN noemen is de response die door de bankkaart is gegenereerd. Zolang dat zo robuust is dat niemand het kan reproduceren mag alles tussen bank en bankkaart inderdaad zo lek als een mandje zijn zonder dat het misgaat.

Alleen zie ik nergens een pincode ingetoetst worden om de kaart te ontsluiten. Als de kaart gejat wordt zou dat wel eens een serieus probleem kunnen zijn. De pincode via de telefoon doorgeven is geen optie, die kan nou juist besmet zijn.

Ik houd het dus liever bij een apart apparaatje, ook als ik een smartphone zou hebben.

Wat een aardig idee kan zijn is om dit concept in een toekomstige generatie calculatortjes te verwerken. Steek de kaart erin, scan de QR-code, bevestig de transactiegegevens met de pincode, neem de response over. Het voordeel boven wat nu gangbaar is is dat de challenge de volledige transactiegegevens kan omvatten, wat de ruimte tot manipulatie door aanvallers tot nul terugbrengt. Het is wel meteen een groter en ongetwijfeld veel duur apparaat met een camera en een groter beeldscherm, met een batterijgebruik dat regelmatig opladen noodzakelijk maakt. Er kleven dus ook nadelen aan.

Volgens mij kan het veel eenvoudiger.
Alle nadelen die er zijn wat codes betreffen, gaan over het zeker weten dat de code die je krijgt/invoert de juiste is.

Ik woon in het buitenland en de banken hier geven aan iedere klant een rsa token.
Altijd een veilig gegenereerde code, en er is geen verbinding met een ander systeem nodig om de code te krijgen (zoals met tan-sms wel het geval is).
Overigens is dit systeem ook kwetsbaar als RSA zelf wordt gehackt zoals een paar jaar geleden.
Maar dat gebeurt volgens mij minder vaak dan dat er telefoons/pc's zijn die met bankmalware te maken krijgen.
De enige kwetsbaarheid die er bovenop komt, is dat last van MIT kan hebben en je betalingsopdracht "onderweg"wordt gewijzigd, maar dat het voor alle andere tan oplossingen (lijst/sms-code/randomreader) ook.

Tsja ... en helaas staat de gemiddelde 'smart' modebiel vol met kwaadaardige Apps......

Het probleem bij internetbankieren is helemaal niet dat telefoons besmet worden met malware. Zolang malware de PC controloeert, en dus de browser, maakt het niks uit via welk kanaal je TAN of autorisatiecodes krijgt. Hybride malware vangt doodleuk gewoon nog even de extra codes af via de browser.

Einde internetbankieren zodra ik een telefoon van 400 of 500 euro excl abonnement moet aanschaffen om bij mijn eigen geld te kunnen.

Dat schreef ik zelf, maar ik ben van gedachten veranderd. Het is inderdaad zo dat het hele traject van het genereren van de challenge bij de bank tot en met het controleren van de response veilig is als het berekenen van de response uit de challenge op de bankkaart niet na te bootsen is, maar er kan iets anders misgaan.

Als zowel de pc als de smartphone van de klant besmet zijn met voldoende geavanceerde malware, die het verband tussen de apparaten kent, dan kan bij het initieel inleggen van de transactie de inhoud door een aanvaller aangepast worden zodat een gewijzigde versie in het systeem van de bank wordt vastgelegd. Maar elke weergave bij de klant wordt door de malware weer vervangen door de oorspronkelijke transactie. Hetzelfde gebeurt op de smartphone, zodat de klant nog steeds niets afwijkends ziet. De bankkaart ontvangt echter de aangepaste transactie, en de response die gegenereerd wordt komt overeen met wat de bank heeft vastgelegd. De klant ondertekent dus een andere transactie dan hij denkt te ondertekenen.

De QR-code in de voorbeeldapplicatie (http://cebit.nfc-tan.com/standard/transaction, tweede scherm) bevat simpelweg de transactiegegevens in tekstvorm:
Zelfs het QR-plaatje is eenvoudig te vervangen door een dat de gegevens die de gebruiker verwacht, een QR-code is niets anders dan gecodeerde tekst.

Natuurlijk zou dit geavanceerde malware zijn die mogelijk pas na jaren wordt ontwikkeld, maar dat er Zeus-achtige mogelijkheden aan zaten te komen heb ik ook schat ik een jaar of 3-4 bedacht voor het zover was, simpelweg door me voor te stellen dat als malware zich tussen de applicatie en de fysieke user-interface (beeldscherm, toetsenbord, muis) kan nestelen er eigenlijk geen restricties zijn. Zeus ging weliswaar in de browser zitten, maar dat is hetzelfde probleem op een andere plek.

Bij het ontwikkelen van een systeem dat daar niet gevoelig voor is moet je dus gebruik maken van een user-interface die niet door malware gekaapt kan worden. Die zit niet op een pc (tenzij de bank een live-cd levert) en niet op een smartphone. Wel op de calculatortjes die we nu van onze banken krijgen, al onderteken je daarmee weer niet de volledige transactiegegevens.

Wat me bevalt is dat de volledige transactiegegevens op een voor de gebruiker hanteerbare manier in de challenge worden meegenomen, maar dit is beslist nog niet een ultieme oplossing.

hoe ingewikkelder hoe onveiliger heb een oude aparte tel waar de tan op wordt gesmst ligt altijd thuis met pin beveiliging ik hoef buitenshuis niet te bankieren en zou ik dat toch willen via een aparte tablet met zo'n rare app die alleen via de markt is te downloaden en niet via de bank site ook zoiets kroms maar dat wil ik ook niet dus betere beveiliging is er niet en me tel verliezen is in dit geval ook geen probleem kwa bankieren dan

Pfoe, ingewikkeld allemaal zeg.

Een acceptgirootje in de bus gooien was toch een stuk eenvoudiger.

Dus ze willen het niet meer via mobiel doen, want onveilig en daarna via smartphone want veilig. Hoe houden ze hier malware ook al weer mee tegen?

Tan by sms is het beste compromis tussen security en gebruiksgemak mits je er natuurlijk voor zorgt dat je mobieltje niet besmet raakt.

Als dit sky high gaat met andere woorden gelanceerd wordt dan moet je mar eens kijken naar hoeveel Android en iOS malware er meer gemaakt zal worden. Dit zal een heftig dik vet vies probleem worden.