Banken verspillen miljoenen aan twee-factor authenticatie
Banken geven miljoenen euro's uit aan het implementeren van twee-factor authenticatie voor hun klanten, maar de aanpak biedt niet langer adequate bescherming tegen fraude of identiteitsdiefstal, zo laat security goeroe Bruce Schneier weten. "Twee-factor authenticatie is tientallen jaren geleden uitgevonden en moest bescherming bieden tegen de dreigingen van die tijd. Nu zijn de dreigingen veranderd, en biedt twee-factor authenticatie hier geen verdediging tegen. Het is een verspilling van geld." aldus Schneier in zijn maandelijkse nieuwsbrief CRYPTO-GRAM.
Twee-factor authenticatie tokens bestaan al bijna 20 jaar, maar krijgen via banken en AOL nu pas de aandacht van de markt. Wachtwoorden alleen zijn, zoals iedereen onderhand weet, niet meer voldoende. De oplossing is het genereren van codes via hardware tokens, die elke keer een andere code geven, en zo bescherming bieden tegen afluisteren en het offline raden van wachtwoorden. Althans, dat zou je denken. Volgens Schneier biedt deze techniek geen bescherming tegen moderne aanvallen zoals man-in-the-middle aanvallen en Trojaanse paarden.
Meer informatie over dit onderwerp en andere security gerelateerde onderwerpen, zoals het gebroken SHA-1 algoritme, de Unicode URL Hack en de datadiefstal bij ChoicePoint zijn te vinden in deze editie van CRYPTO-GRAM.
tegen moderne aanvallen zoals man-in-the-middle aanvallen en
Trojaanse paarden.
en keyloggers, en daarom is het geen verspilling.
website and entices user to that website. User types in his
password, and the attacker in turn uses it to access the
bank's real website. Done right, the user will never realize
that he isn't at the bank's website. Then the attacker
either disconnects the user and makes any fraudulent
transactions he wants, or passes along the user's banking
transactions while making his own transactions at the same time.
Ik ken een andere (technische) definitie van een man in the
middle attack.
Ik vind bovenstaande meer op phising lijken.
De gegeven oplossing lees ik meer als een e.dentifier die
een uniek sessienummer genereert. In Nederlands niets
nieuws, in tegenstelling tot de VS overigens.
echte site en de klant zit, en alle data doorstuurd naar de
klant (evt met een paar wijzigingen), zodat je de klant de
extra (tijdelijke) passwords laat invullen. uiteraard stuur
je dan ook gewijzigde info naar de bank toe (ander bedrag,
ander rekeningnr).
bij phising wordt je login/pw gejat, maar kom je niet
(direct of indirect) op de echte site terecht.
iemand de beveiliging weet te breken.
Dit is dus al weer enkele jaren bij de banken,en als het goed is bij de
klanten bekend.
De banken hier in Nederland waarschuwen hiervoor op hun login site met
een melding dat de klant dient te verifieren dat de url moet zijn;HTTPS;//etc.
Het is dus aan de klant om dit te controleren, dit doet bijna niemand maar
toch.
De bank is het dus niet aan te rekenen als er iets fout gaat.
En ja security is nooit 100% gewaarborgd, maar de 2way authenticatie
dmv een token is, als men het bovenstaande inacht neemt zeer veilig.
Papieren betaalopdrachten werden vroeger ook wel eens onderschept en
aangepast, zo is er altijd wel iets te verzinnen.
herhalingen
Hoeveel kosten besparen de banken door de gebruikers
internet bankieren 'door hun strot te duwen'? Zouden ze dan
ook niet verantwoordelijk gesteld moeten worden voor de
fraude die daarmee gepaard gaat?
2-factor authenticatie is inderdaad niet voldoende, zoals ik
al eerder geschreven had moet er vooral ook een signing zijn
van de transacties (bedrag en bestemming) door een device
buiten de computer om (postbank?). Dat is de enige methode
om man-in-the-middle en spyware achtige zaken tegen te
houden. Dan kunnen natuurlijk nog altijd je persoonlijke
gegevens (rekeningstand, overschrijvingen, ...) door
man-in-the-middle of spyware gestolen worden, maar ben je
ten minste je geld niet kwijt..
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.