Internetbankieren
 

Hoi, ik ben toch van plan om binnenkort te beginnen met internetbankieren (ABN). Maar ik twijfel nog een beetje, want hoe veilig is dat nou echt?
Stel er staat allemaal spy/ad-ware op je pc, kan je dan nog normaal internetbankieren, zonder dat iedereen in je gegevens kan komen?
En natuurlijk wil ik weten hoet het zit met alle andere vormen van "onveiligheid" met betrekking tot privegegevens, als je gaat internetbankieren.

Je vult je banknummer + pasnummer in. Je krijgt dan een nummer in beeld.

Je hebt een 'e-dentifier' waar je je pas in moet doen. PIN-code intypen, code uit scherm overtypen en 'ok'. Apparaat geeft nieuwe code, moet je invoeren, je bent ingelogd.

Dus tenzij iemand gaat uitzoeken welke codering wordt gebruikt.. lijkt mij dat dat niet lukt?

In wat voor hol wonen sommige debielen als ze denken dat dit voor een normaal iemand nog steeds niet veilig is.

Internetbankieren is erg veilig, genoeg om er je bankzaken mee te regelen. De meeste banken hebben inderdaad een apparaatje als de e-dentifier (ABN-Amro) waarmee met veelcijferige codes wordt gewerkt. Spyware kan hier niets mee doen, zelfs als je code wordt gelogd, aangezien deze elke sessie random verandert. Verder zijn er nog tig beveiligingen als SSL (encryptietechniek), dus ik durf de stelling wel aan dat het veiliger is dan de oude manier.

Vooral blijven denken dat een 'normaal' iemand nooit slachtoffer zal worden ;).

Anyway, internetbankieren is redelijk veilig. De encryptie die wordt gebruik is ontzettend lastig te decrypten. Maak je niet zoveel zorgen :).

Zeg ik dat dan? Het gaat vast eens gebeuren of is zelfs al eens gebeurd, maar de kans is zeer klein. Blablablabla :rolleyes:

Je moet je pincode ervoor gebruiken en je hebt je pasje nodig, dus het is ongeveer even veilig als pinnen bij een geldautomaat. Iemand die jouw pasje en code niet heeft, kan er niet bij.

Dat is echt zo'n rare vraag als 'is mijn auto nog veilig zonder remmen ?'. Een normaal mens denkt dan, 'zorg dan dat er remmen op zitten'.

Zo zou een normaal mens ook denken 'zorg dan dat er geen spyware op je pc staat'.

Natuurlijk, maar stel dat ;)
En hoe is de veiligheid op openbare computers (zoals school, (buitenlandse)internetcafe, enz). Want stel je voert de gegeven reponscode in, maar de pc reageert niet? Is het dan nog steeds veilig (ik denk even extreem: bijv. spyware, adware, misschien hackers).
Oke, voor sommigen klinkt het dom, maar ik wil het gewoon weten!

dat zou ik dus gewoon simpelweg niet doen he, internet bankieren op een publieke pc. Maar in principe is dat wel veilig; een responscode verloopt na een korte tijd. Wel is het zaak dat je dan op zo'n pc van die 'handige' vakjes als 'gebruikersnaam en wachtwoord onthouden' niet aanvinkt ;)

Puur even theoretisch. Stel, iemand weet mijn banknummer + rekening nummer (ABN) en heeft zelf ook een eigen pas + e-dentifier. Als hij dan met zíjn pas de code intikt op dat apparaatje enzo, en die code invoert, kan hij dan inloggen? Of is de codering verschillend per pasje oid?

je moet je rekeningnummer en pasnummer invoeren, dat is gekoppeld aan je bankpas. dus je kan niet met een ander pasje op jouw rekening komen.

Volgens mij is dat idd verschillend, moet wel, anders is het wel héél makkelijk om ergens anders op in te loggen.

Ik vraag me dan altijd af hoe het werkt.. dat de "rekenmachine" die je bij de rabobank krijgt een getal geeft dat je kunt invoeren én ook nog werkt ;)

Mja.. zal wel ingewikkeld zijn ;)

In die cardreader zit dezelfde software die het systeem in de website ook gebruikt. De reader maakt een 'random' getal aan, en het systeem in de website ook. Als die getallen overeen komen krijg je toegang.

Maar hoe weet de website dan of de response correct is? Liggen de combinaties (bijvoorbeeld bij code 123456 hoort respone 654321) niet gewoon vast?

Het werkt niet echt met een response naar mijn weten.

In de reader en in de website komen dezelfde getallencombinaties voor. De website vergelijkt de getallencombinatie die uit je reader komt met alle getallen in zijn database oid. Komen ze overeen, dan krijg je toegang :-).

Het werkt in zoverre met een response dat ABN-Amro het zo noemt. Maar de combinaties liggen dus gewoon vast. Dus stel dat iemand het voor elkaar krijgt om die combinaties te stelen, heeft diegene dan toegang tot alle online rekeningen? Lijkt me een behoorlijk risico eigenlijk :o

Dat zou niet kunnen, want dat betekent dat ik met mijn pasje en pincode in zou kunnen loggen op de rekening van iemand anders, mits ik zijn/haar rekeningnummer en pasnummer heb. Toch? Dat is natuurlijk niet zo.

Dus codes worden waarschijnlijk gegenereerd met een soort versleuteling specifiek voor jouw rekeningnummer, dat lijkt me moeilijk te kraken.

Ja, dat zou dus een behoorlijk, te groot, groot risico zijn. Maar dat zou dus betekenen dat er dan op elke E-dentifier (paslezer van ABN-Amro) een eigen codepakket geladen wordt. Aha, zo werkt dat dus :cool:

Het mooie van de inlogsystemen bij Nederlandse banken is dat er meerdere kanalen worden gebruikt om in te kunnen loggen. Het gaat niet alleen om 'something you know' (login/password, pin), maar ook om 'something you have' (apparaatje + 'random' gegenereerde code + pinpas: rabo, abn) en 'something you are' (gsm nr: postbank). Het gaat dus om multi-factor security.

En het mooiste is nog dat dat 'something you know' nooit over internet hoeft te worden verzonden in het geval van een Rabo reader of e-dentifier. Je typt namelijk je pincode niet in op de website, maar in zo'n apparaatje. En zo'n logincode verloopt al weer na enkele seconden. Daar komt nog bij dat je voor transacties opnieuw moet 'inloggen' door nogmaals je pincode in te tikken op dat ding en vervolgens een code in moet typen die je op het beeld krijgt te zien.

Ook bij de postbank zal een fraudeur meerdere kanalen tegelijk moeten onderscheppen: je login/wachtwoord combi en de tancode die je via sms (een ander netwerk dan internet) toe krijgt gestuurd. De kans dat dit automatisch kan gebeuren is miniem. Computerfraudeurs zijn geïnteresseerd in dingen die automatisch kunnen. En moet zo'n random reader of tan code via SMS wordt dat wel heel lastig.

Dit alles zorgt er voor dat het allemaal relatief zeer veilig is. Dankzij de multi-factor security ben je niet langer gevoelig voor spyware of een man-in-the-middle attack.

Dit overigens itt tot de VS, waar men nog gewoon met een simpel login/password combi werkt. Dan ben je dus wel gevoelig voor spyware of een mitm attack. Er is bijvoorbeeld een tijdje geleden iemand uit Loon op Zand opgepakt, omdat hij mbv spyware de logincombinatie van amerikaanse internetbankierders verzamelde en vervolgens gebruikte enkele euro's weg te sluizen.

Volgens mij niet. Wij hebben hier 3 of 4 random readers liggen en ik kan ze zonder problemen gebruiken. Ik weet niet hoe dat bij de ABN zit, volgens mij kan dat daar ook gewoon. Maar als je het goed beschouwd vormt dat geen extra beveiligingsrisico. Immers, wat heb je nodig om in te kunnen loggen? Iemand pinpas, pincode en een/jouw apparaatje. En als iemand jouw pinpas en pincode heeft, maakt het niet zo heel veel meer uit als hij ook zijn eigen apparaatje kan gebruiken. Immers, hij kan dan ook naar de dichstbijzijnde bank lopen en daar gaan flappentappen op jouw kosten (letterlijk).

Klopt inderdaad ja, ik bedacht me net dat we hier ook meerdere e-dentifiers hebben liggen die allemaal gewoon werken.

Bedankt voor je toelichting (y)

Elke randomreader (rabo) kan gebruikt worden om op elke account in te loggen.
Je inlog code wordt in ieder geval gegenereerd uit je rekeningnummer, pincode en de tijd op dat moment, tijd wordt afgerond op een aantal seconden, ik geloof voor elke 10 a 15 sec een nieuwe code, aangezien de pc van de bank al je gegevens weet en ook een klok heeft die gelijk loopt met de randomreaders kunnen zij de code ook genereren, deze wordt dan vergeleken met de ingevoerde code.
Ook zit er nog als extra beveiliging op dat je met elke code maar 1x kunt inloggen, dus al zou je code gelogd worden door een programma en zou dat programma binnen de tijd dat die code nog geldig is inloggen er toch niet inkomen, zelfde met transacties.
Aangezien het algorithme niet bekend is kan niemand zonder je pas (of een kopie) en je pincode niks met jouw account en is het sowieso makkelijker iemands handtekening te vervalsen op een giro/check :p

Er is (theoretisch, nog geen kans gehad het te testen) zover ik weet nog wel een mogelijkheid deze aparaten (iig die van de rabobank) te misbruiken, maar het internet bankieren zelf is dus zeer veilig.

Nee, dat dus niet. Bij de Rabobank was dit geloof ik wel zo, maar nu ook niet meer. Ik denk dat het ding op basis van het pasje dat er in komt een manier van versleutelen kiest, en dus voor elk pasje weer en andere. Dat moet niet zo moeilijk te maken zijn, maar wel moeilijk te kraken.

Nee, het systeem in de pasjes blijft hetzelfde. Anders zouden ze zoveel manieren van encryptie moeten maken voor ieder pasje.

En het is ook niet makkelijk te maken :P. Als dat zo was, was het ook een stuk makkelijk om te kraken.

Kraken is altijd moeilijker dan het ontwikkelen. En 't lijkt me niet dat het moeilijk is een encryptie te maken, als je maar een goed systeem bedenkt (bv. met het bankrekeningnummer + pincode + tijd). Het aantal stappen tot zo'n encryptie, en de volgorde van die stappen is dan natuurlijk van belang. Voor iemand die het wil kraken, zijn er zóveel mogelijkheden, dat het vrijwel onmogelijk wordt. Terwijl het systeem maken vast niet zoveel tijd kost. Het beveiligen van het systeem lijkt me wel moeilijk, zodat iemand dus niet zomaar even het algoritme kan bekijken.

Niets is onmogelijk. En een encryptie systeem maak je niet binnen een paar weekjes. Ik moet nu eten halen, anders had ik graag nog meer willen vertellen :).

Misschien gebruikt het ook wel andere gegevens om een code te genereren. Zoals hoeveel je de laatste keer hebt opgenomen, of op welke datum de pas als laatste is gebruikt.

De datum die in het UI staat (is op te vragen in het menu) is in de meeste gevallen niet correct. Daarbij heb ik de randomreader nog niet kunnen betrappen op een modem of atoomklok;), zodoende kan het niet synchroom lopen met een tijdserver. Dit nog allemaal los staande van het feit dat batterijen ook wel eens leeg zijn en worden vervangen, waardoor het apparaat waarschijnlijk zijn tijdsinstellingen weer is vergeten.

Wat zelfs slimmer is, want wie gaat er nou geld overboeken naar zijn eigen rekening ;)
Op de chip in je kaart in een heleboel informatie opgeslagen. Waarschijnlijk krijg je met je apparaatje 'toegang' tot bepaalde informatie, waarmee met een code een bepaalde response wordt gegenereerd, die voor de computer en je pas bekend zijn.

Moet jij je randomreader maar eens openschroeven, krijg je mooi op je schermpje Error en de tijd en datum te zien hoor. Er zit namelijk een "beveiliging" op dat als je hem open maakt hij zichzelf wist, dit is niet meer te fixen, maar hij geeft op het scherm wel zijn tijd en datum weer van het moment waarop hij open is gemaakt, dus er zit wel degelijk een klok in.
Aangezien een code meerdere seconden geldig is boeit het niet als er een miniscule afwijking komt tussen de klok bij de bank en die in je random reader.
Bij het vervangen van baterijen wordt het chipje zeer waarschijnlijk opnieuw geprogrammeerd aangezien hij zichzelf vernietigd als hij open is geweest en daardoor klopt zijn tijd weer.

Hoe e.e.a. precies werkt is bij niemand duidelijk. De Rabobank is natuurlijk niet zo dom om precies te gaan vertellen hoe de Random Reader in elkaar steekt.

Logisch om aan te nemen is echter wel dat:

• De code gegenereerd wordt met behulp van een klok. Een code werkt namelijk paar voor een bepaalde tijd, en dat is niet anders te linken dan middels een klok. Of de klok van de Random Reader tot op de seconde op tijd loopt is bij een code die minimaal een minuut werkt natuurlijk niet belangrijk.
• Je pincode opgeslagen wordt in je chipknip/chipper, uiteraard middels een bepaalde hash. De Random Reader leest namelijk de 'strip' van de pas zelf niet uit. Daarop wordt ook niks versleuteld.
• De Random Reader idd beveiligd is zoals fosje al zegt tegen openmaken. Als je 'm open zou krijgen en de chip uit zou kunnen lezen, zou je achter de hash kunnen komen en daarmee zelf een inlogcode kunnen maken voor een willekeurige pas.

Het is aan te nemen dat wanneer je je pas in de Random Reader stopt, hij je pincode in hash uitleest van de chipper. Toets je de code goed in, dan versleutelt ie die op dezelfde manier als de hash, en vergelijkt ie beiden. Zijn ze gelijk, dan maakt hij een code aan die in ieder geval gebaseerd is op de tijd, en mogelijk ook nog op andere informatie. Het geheel wordt dan waarschijnlijk versleuteld middels een bepaalde key, die ook bij de Rabobank site bekend is.

Om een lang verhaal kort te maken; internetbankieren is veilig. Veel veiliger dan bijvoorbeeld betalen via creditcard. Daar hoef je alleen het nummer en de vervaldatum te kennen om mee te kunnen betalen, en bij internetbankieren komt daar altijd een extra code aan te pas, die vaak ter plekke gegenereerd wordt.

Spy- of Adware zal dus niet van invloed zijn op het internetbankieren. De codes die je genereert werken alleen op een bepaald moment, dus al leest iemand 'm uit, je kan er niks mee. Pas als je onzorgvuldig wordt met je pincode en pinpas loop je gevaar, maar zoals eerder gezegd kan je daar in 'het echte leven' ook maar beter mee oppassen. ;)

Hmm... Ik betwijfel of het algoritme afhangt van de tijd in je raboreader. De tijd die mijn (spiksplinternieuwe) reader aangeeft loopt echt helemaal out-of-sync met de werkelijke tijd. Ik kan nog wel gewoon geldige code genereren.

Ok, domste vraag ever: Wat is het verschil tussen een overboeking en een acceptgiro. Want als ik wil betalen met internetbankieren, weet ik niet wat ik moet kiezen :bloos:

ik kies altijd voor een gewone overboeking ipv. een acceptgiro. Je kunt daar ook gewoon je betalingskenmerk invullen en het is wel zo vertrouwd.

Internetbankieren vind ik zelf erg veilig, maar (zoals gister) als ze je via een mailtje (postbank++ en rabobank) vragen om je gegevens ergens in te vullen, wordt het natuurlijk wel riskant :D .

hopelijk niet gedaan, aangezien dit een valse mail betreft :)

sorry, maar dit vind ik een beetje rare opmerkingen. Ik vind het geen gekke vraag hoor en ten 2e heeft het nix met elkaar te maken. Maar het is wel veilig ivm die identifier enzo. De codes veranderen elke keer. (ik gebruik het zelf ook)

een acceptgiro is als een bedrijf jou een overschrijfkaart heeft gestuurd waar je in principe alleen nog je handtekening op hoeft te zetten en het op te sturen, de rest staat al ingevuld. Die dingen hebben een code, met behulp van die code kun je via internetbankieren het geld van zo'n acceptgiro overmaken. Als je geen acceptgiro hebt gekregen kies je voor de gewone overboeking.

Het is een voooooooooooooooorbeeld, om te proberen duidelijk te maken dat als je je afvraagt of iets veilig is icm met spyware, ik me afvraag wat die spyware dan op je pc doet.