Dat is nog steeds het advies - voor passwoorden op plaatsen waar "iedereen" kan proberen, en vaak kan proberen.
Of zelfs tientallen miljarden keren kan proberen als de lijst van versleutelde passwords leks.



Klopt ook.

Ja - het feit dat die app gekoppeld op JOUW telefoon staat , en die pincode niet "door iedereen op de wereld op de website van ing/gmail/bol.com" geprobeerd kan worden.

De pincode heeft als functie om (alleen) het misbruiken te blokkeren als jij iemand jouw telefoon heeft, en dan ook nog unlocked .

En die pincode blokkeert na vijf pogingen - en dan kun je niks meer behalve de app weer opnieuw installeren en koppelen.
Telefoons hebben de laatste jaren een 'secure enclave' speciaal code-processortje in/naast de chip waar dingen (zoals keycodes) in staan die ook niet meer naar buiten moeten kunnen komen.
De opties voor theoretische hackers om je telefoon open te pluizen en alsnog je bank-app te misbruiken zijn erg klein.

Net zoals je bankPAS ook "maar" vier cijfers heeft - maar dus ook blokkeert / ingeslikt wordt bij te vaak fout .

Telefoons zijn als "computer" heel erg veel beter beveiligd dan een 'gewone' desktop - omdat jij niet meer de "systeembeheerder" van je telefoon bent (dat is Apple of Google) - en de programma's van alles niet kunnen/mogen wat ze op een desktop wel kunnen.
Je bent hooguit 'applicatiebeheerder' .
Plus nog wat technische maatregelen zoals die secure enclave, het (moeten) gebruiken van 'veilige' programmeertaal voor de apps, apps die helemaal niks mogen zien van andere apps , en moeten gebruiken van een appstore waarin de apps door apple/google gecontroleerd worden die goed (tot behoorlijk goed) malicious apps weren.
Dat is bij elkaar een groot verschil met "klik om een app (programma) te installeren die _alles_ mag op het hele systeem"

Volgens mij werkt het zo.
De app en het onderliggende systeem is a.h.w. aangemeld bij de dienst/ site waar eerst wel het wachtwoord nodig was.
De pincode ontsluit de app alleen maar en gaat niet over het Internet en kan dus niet onderschept worden.
Bij elke inloggen via een browser met een wachtwoord gaat dit wachtwoord wel over het Internet en kan dus onderschept worden.
Dus is het eerste veiliger,

Simpele vergelijking:

Meestal vele pogingen voor wachtwoord (1 factor) vanaf het gehele internet te testen
vs.
3-5x poging voor pincode of lokale biometrie (1e factor) ++(en die lijk je te vergeten)++ die specifiek alleen op jouw mobiel met de reeds ingelogde app (factor 2) werkt.

Die 2e is dus meestal veiliger inderdaad. Maar blijf wel opletten waar je inlogt natuurlijk.
Voeg je aan de eerste ook sterke MFA / 2FA toe? Dan ben je weer gelijk aan elkaar.

yep.


Onderscheppen is niet echt het grootste risico - dat "ieder ander" het ook over Internet mag proberen is het risico.

Dat is wat er misgaat met te simpele passwords - niet dat ze onderschept worden (dat is even moeilijk of makkelijk bij een goed danwel een slecht password) - maar dat ze gevonden worden bij genoeg (automatisch) proberen.