SNS

Beantwoord

Betaling via internetbankieren (digicode)

  • 21 april 2015
  • 21 Reacties
  • 1753 Keer bekeken

hallo
wat ik mij afvraag is waarom de klant niet kan betalen met de digicode via internetbankieren dit is wel heel vreemd van de bank het word hoog tijd dat deze makkelijke methode voor de klant door de bank eens mogelijk word gemaakt het is toch een normale zaak dat ik hiermee ook gewoon kan gaan betalen groetjes jan
icon

Beste antwoord door Kirsty 22 april 2015, 17:36

hallo
wat ik mij afvraag is waarom de klant niet kan betalen met de digicode via internetbankieren dit is wel heel vreemd van de bank het word hoog tijd dat deze makkelijke methode voor de klant door de bank eens mogelijk word gemaakt het is toch een normale zaak dat ik hiermee ook gewoon kan gaan betalen groetjes jan


Hoi Jan,

Welkom op de community. Leuk dat je met ons meedenkt. We hebben verschillende manieren van online betalen. Zo hebben we de digipas, de digicode en (zoals Carel aangeeft) de mobiele app.

Met de digicode kun je:

• Inloggen in de Mijn SNS omgeving.
• Overboekingen doen tussen eigen rekeningen en naar een vaste tegenrekening bij een andere bank.
• Transactieoverzichten opvragen en afdrukken.
• Inloggen in formulieren op de website, zodat de persoonsgegevens al vooraf ingevuld zijn.

Met de digicode kun je geen externe betalingen doen. Als ik zo jouw reactie lees, denk ik dat een digipas of de mobiele app beter bij jouw behoeftes passen. Je kunt deze naast de digicode blijven gebruiken. Via deze link vraag je de digipas aan. Stuur je ons een bericht als je er niet uit komt of als er iets onduidelijk is?

Tot ziens op de community.
Bekijk origineel

21 reacties

hallo
wat ik mij afvraag is waarom de klant niet kan betalen met de digicode via internetbankieren dit is wel heel vreemd van de bank het word hoog tijd dat deze makkelijke methode voor de klant door de bank eens mogelijk word gemaakt het is toch een normale zaak dat ik hiermee ook gewoon kan gaan betalen groetjes jan


Hoi Jan, welkom op de community. Het is inderdaad heel gemakkelijk, en daar zit volgens mij ook het probleem. Als iemand anders deze gegevens ook heeft kan hij ook betalingen doen. Ik wil niet beweren dat je zelf niet goed op je digicode zou passen, maar je kunt altijd een virus krijgen dat in staat is om deze gegevens 'af te luisteren'. (Alle mogelijke protectie van je computer enz, loopt altijd achter de feiten aan en is dus uiteindelijk geen garantie.).

Daarom is het goed dat er een controle mechanisme is die buiten de computer omgaat en die per keer een andere code oplevert zoals digipas, of SMS (gebruiken andere banken).

Ik zelf geef de voorkeur aan een digipas boven SMS omdat ook telefoons makkelijk te kraken zijn tegenwoordig.

Helaas leven we in zo'n wereld waar het verstandig is om met de nodige achterdocht met elkaar om te gaan.
Badge
Ha Jan,

Je kunt wel via de app van je smartphone betalen aan degene dieal in je adresboek staan met je 5-cijferige inlogcode van de app.
Dan heb je die digipas gelukkig niet nodig. Ik gebruik dit dan ook liever.
Geen enkele bank staat volgens mij toe dat je met je "eigen" inlogcode betaalt.
Badge +1
hallo
wat ik mij afvraag is waarom de klant niet kan betalen met de digicode via internetbankieren dit is wel heel vreemd van de bank het word hoog tijd dat deze makkelijke methode voor de klant door de bank eens mogelijk word gemaakt het is toch een normale zaak dat ik hiermee ook gewoon kan gaan betalen groetjes jan


Hoi Jan,

Welkom op de community. Leuk dat je met ons meedenkt. We hebben verschillende manieren van online betalen. Zo hebben we de digipas, de digicode en (zoals Carel aangeeft) de mobiele app.

Met de digicode kun je:

• Inloggen in de Mijn SNS omgeving.
• Overboekingen doen tussen eigen rekeningen en naar een vaste tegenrekening bij een andere bank.
• Transactieoverzichten opvragen en afdrukken.
• Inloggen in formulieren op de website, zodat de persoonsgegevens al vooraf ingevuld zijn.

Met de digicode kun je geen externe betalingen doen. Als ik zo jouw reactie lees, denk ik dat een digipas of de mobiele app beter bij jouw behoeftes passen. Je kunt deze naast de digicode blijven gebruiken. Via deze link vraag je de digipas aan. Stuur je ons een bericht als je er niet uit komt of als er iets onduidelijk is?

Tot ziens op de community.
Reputatie 2
Badge
Ik wil graag de mogelijkheid hebben om met mijn digicode geld naar andere rekeningen over te maken.
Dan hoef ik niet de hele tijd met mijn digipas rond te lopen en hoef ik ook niet bang te zijn dat hij (weer) stuk gaat. Bovendien vind ik het gebruik van de digipas nogal omslachtig.
Hi Eva,

Ik snap dat je deze wens hebt. Ik heb je vraag verplaatst naar het topic https:// https://forum.snsbank.nl/betalen-46/betaling-via-internetbankieren-digicode-9146.

Zoals BigBen aangeeft, verkiezen we betalen met een digipas boven betalen met een digicode vanwege de veiligheid. Kies je toch liever voor het gemak? Dan maak je gemakkelijk bedragen over via de Mobiel Bankieren App. Wanneer je naar ‘Instellingen’ gaat en klikt op ‘Mobiel bankieren’, kun je er bij ‘Onbekende rekeningen’ voor kiezen om alle betalingen tot € 500 zonder je digipas te laten verlopen. Om deze instelling te bevestigen heb je dan weer wel eenmalig je digipas nodig.
Reputatie 2
Badge
Dan ben ik benieuwd waarom volgens jullie betalen met alleen een pincode op een mobiel apparaat wel veilig is. In mijn beleving is dat namelijk veel onveiliger dan betalen met je digicode op een vaste computer die veel makkelijker te beveiligen is.

Ik heb zelf geen smartphone. Het enige mobiele apparaat dat ik heb is een samsung tab1 van voor de oorlog en die vind ik zelf niet veilig genoeg om betalingen van te doen.
Hoi Eva,

Het is een keuze om via de app te betalen zonder digipas. Je kunt de app zo instellen dat je altijd je digipas moet gebruiken als je een overboeking doet naar een onbekend rekeningnummer. Bovendien kun je alleen gebruik maken van de mobiele app als je apparaat verbonden is met een beveiligd netwerk. Daarnaast kun je zoals gezegd zelf je limiet instellen als je ervoor kiest om wel te kunnen overboeken zonder digipas. Zo bepaal je helemaal zelf welke optie voor jou het fijnst is en je het veiligst gevoel geeft.

Zoals BigBen aangeeft, verkiezen we betalen met een digipas boven betalen met een digicode vanwege de veiligheid.

Nu weet ik wel dat ik heeeeeeel veeeeeel zeg, maar wat heb ik hier dan gezegd? Ik kan het niet terug vinden.
Misschien bedoel je eerder eRik19 ? :S
Groet,
Ben 🆒
Ach, wat stom. Mag ik een beroep doen op mijn onervarenheid en de gelijkenis (zelfde kleur baardje) in jullie profielfoto’s? Alle credits gaan natuurlijk naar eRik19. Goed dat je zo alert bent, BigBen 😉.
Maartje, SNS,
Leuk dat je me citeert, maar ik denk dat Eva echt een punt heeft. Aan de ene kant is de SNS strikt, maar aan de andere kant zet ze een aantal zaken 'wijd' open en doet ze concessies voor het gemak. Tot op zekere hoogte is dat wel acceptabel als de schade maar beperkt kan worden, zoals met contact loos betalen én dat lijkt niet het geval te zijn:
Het is een keuze om via de app te betalen zonder digipas. Je kunt de app zo instellen dat je altijd je digipas moet gebruiken als je een overboeking doet naar een onbekend rekeningnummer. Bovendien kun je alleen gebruik maken van de mobiele app als je apparaat verbonden is met een beveiligd netwerk. Daarnaast kun je zoals gezegd zelf je limiet instellen als je ervoor kiest om wel te kunnen overboeken zonder digipas. Zo bepaal je helemaal zelf welke optie voor jou het fijnst is en je het veiligst gevoel geeft.

Leuk al die opties, maar waar ik naar benieuwd ben, zijn de standaard waarden veilig genoeg als je (per ongeluk) een optie inschakelt? Ik ga altijd steigeren als ik woorden lees als 'veilig gevoel'. Een gemiddelde computer/mobiel gebruiker weet zo weinig van gevaren dat elke vorm van gevoel, anders dan, grote argwaan een waanvoorstelling is. Een bank moet echt de grenzen bepalen / bewaken voor de consument.

Wat me ook opvalt in de quote is als je apparaat verbonden is met een beveiligd netwerk. Deze noodzaak komt me vreemd voor en lijkt er op te wijzen dat de SNS app zelf niet gebruikt van een versleutelde verbinding, dat kan ik me haast niet voorstellen...

De mobiele App geeft een aantal mogelijkheden, die hun weerslag hebben op de backoffice. Deze heeft nu de infrastructuur om verschillende vormen van autorisatie met bij behorende limieten etc te ondersteunen. Daarom lijkt me het verzoek van Eva een goede uitbreiding voor internet bankieren die in lijn is met de mobile applicatie ontwikkeling.

P.S.
Maartje de overeenkomsten met BigBen zijn er zeker, maar daarom heb ik ook icoontje gekozen net als jij (maar die moet je delen met anderen).
Reputatie 2
Badge

De mobiele App geeft een aantal mogelijkheden, die hun weerslag hebben op de backoffice. Deze heeft nu de infrastructuur om verschillende vormen van autorisatie met bij behorende limieten etc te ondersteunen. Daarom lijkt me het verzoek van Eva een goede uitbreiding voor internet bankieren die in lijn is met de mobile applicatie ontwikkeling.


Er wordt nu met twee maten gemeten. Ik kan geen enkele objectieve reden waarom je met een vaste pc en de website niet zou kunnen wat je met de mobiele app wel kan.
Ha Jan,

Je kunt wel via de app van je smartphone betalen aan degene dieal in je adresboek staan met je 5-cijferige inlogcode van de app.
Dan heb je die digipas gelukkig niet nodig. Ik gebruik dit dan ook liever.
Geen enkele bank staat volgens mij toe dat je met je "eigen" inlogcode betaalt.


Dat hangt een klein beetje af van de doelrekening. Wanneer ik van mijn ASN-spaarrekening geld overmaak naar mijn SNS-betaalrekening kan dat wel. Harde voorwaarde: het moet de tevoren vastgetelde tegenrekening zijn.

Overigens ben ik het in grote lijnen met Eva eens dat - zoals ik zelf ook al in een ander topic zei - nieuwe technologieën nogal eens worden gepromoot met nadelen van bestaande. Ik ga apps steeds meer als een luchtballon / hupe beschouwen. Lijkt prachtig - maar het gaat een keer fout.
Reputatie 3
Badge +1

De mobiele App geeft een aantal mogelijkheden, die hun weerslag hebben op de backoffice. Deze heeft nu de infrastructuur om verschillende vormen van autorisatie met bij behorende limieten etc te ondersteunen. Daarom lijkt me het verzoek van Eva een goede uitbreiding voor internet bankieren die in lijn is met de mobile applicatie ontwikkeling.


Er wordt nu met twee maten gemeten. Ik kan geen enkele objectieve reden waarom je met een vaste pc en de website niet zou kunnen wat je met de mobiele app wel kan.


Ik kan er wel 1 verzinnen:
Op de PC maak je gebruik van een generieke browser. Deze heeft heel veel functies onder water om alle mogelijke verschillende websites te kunnen bezoeken. Iedere functie kan worden misbruikt door hackers, malware, etc. Veel van deze functies zijn voor SNS internetbankieren overbodig, maar vormen wel een beveiligingsrisico voor het bankieren.
Op je mobiel gebruik je een SNS specifieke app. Daar zitten alleen functies in die nodig zijn om te bankieren. Mogelijk ook additionele beveiligingsfuncties die in een browser niet mogelijk zijn. Daardoor is het bankieren via de app in de basis minder risicovol (voor de bank?).

M.a.w. de risicoprofielen van bankieren via de app of via de browser zijn verschillend, dus het bijbehorende authenticatiemiddel kan anders zijn.
Hoi Stefan,

Een zinnige verklaring.
Probleempje: als de bank van klanten een vorm van veiligheidsbewustzijn verwacht, zit je hier wel op een onbereikbaar niveau, en kun je voortaan van klanten niks meer verwachten, redelijkerwijs.
Ik vraag mij af of de voorwaarden rond verantwoord gebruik door de klant dan nog wel realistisch zijn.
Reputatie 2
Badge
[
Ik kan er wel 1 verzinnen:
Op de PC maak je gebruik van een generieke browser. Deze heeft heel veel functies onder water om alle mogelijke verschillende websites te kunnen bezoeken. Iedere functie kan worden misbruikt door hackers, malware, etc. Veel van deze functies zijn voor SNS internetbankieren overbodig, maar vormen wel een beveiligingsrisico voor het bankieren.
Op je mobiel gebruik je een SNS specifieke app. Daar zitten alleen functies in die nodig zijn om te bankieren. Mogelijk ook additionele beveiligingsfuncties die in een browser niet mogelijk zijn. Daardoor is het bankieren via de app in de basis minder risicovol (voor de bank?).

M.a.w. de risicoprofielen van bankieren via de app of via de browser zijn verschillend, dus het bijbehorende authenticatiemiddel kan anders zijn.


Als dat het verhaal is dan ben ik wel benieuwd waarom er geen apart programma voor op de PC gemaakt is als dat veel veiliger is.
Verder is zo'n app voor een groot deel van de werking afhankelijk van het operating system waar het op draait. En daar is vaak nogal wat mis, zowel bij Android of bij Apple. Niet alleen worden er regelmatig lekken ontdekt:
http://www.iphoned.nl/nieuws/ios-9-lek/
http://infosecuritymagazine.nl/2015/06/18/ernstig-ios-en-os-x-lek-maakt-diefstal-van-wachtwoorden-uit-apps-mogelijk/
http://www.nu.nl/mobiel/4096166/ernstig-android-lek-laat-hacker-telefoon-overnemen.html
enz enz enz enz

Maar verder zijn er veel apps in omloop die niet erg betrouwbaar zijn. Daar is Apple wel heel strikt in maar ten eerste doen veel mensen een jailbreak en ook de app store van Apple bleek geen onneembare vesting te zijn.

http://www.volkskrant.nl/tech/apple-geeft-enorme-hack-app-store-toe~a4146431/

De Android winkel is wat verbeterd maar was echt een zooi. Software buiten Google play downloaden is trouwens kinderlijk eenvoudig.
Wat mij trouwens verbaast is dat de SNS-app draait op android 2.3 en hoger. 2.3 is echt uit het jaar kruik en heeft al ja-ren geen update meer gehad. En dat terwijl men ten sterkste afraad op op Windows XP te internetbankieren.
Ok. ik weet dat ik mij in een slangenkuil begeef en dat ik een digibeet ben, met te veel vertrouwen. Maar volgens mij zijn de "lekken" vooral problematisch (als ze al voorkomen lees misbruikt worden) met wachtwoorden welke je op de smartphone ed laat "onthouden"
Volgens mij was/is de SNS app als volgt in te stellen en maakt "lekken" onmogelijk of waardeloos.
* De eerste keer geld overmaken naar een niet gebruikte rekening, via de app, moet via de digipas.
* Vervolg overboekingen kunnen alleen worden ingezet na het ingeven van een wachtwoord (zo loop je niet altijd met een digipas rond).
--> Dit klopt toch, SNS?

Zo lijkt het mij echt waterdicht. In ieder geval zo waterdicht dat het normaliter niet lukt om onrechtmatig geld van een rekening af te sluizen. Doemscenario's met kansberekening zullen zeker gemaakt zijn en worden door banken en betrokkenen. Maar is het niet zo dat alles wat we doen binnen een aanvaardbaar risico valt, ook het oversteken van de straat en vliegen met een vliegtuig....
Reputatie 2
Badge
Ok. ik weet dat ik mij in een slangenkuil begeef en dat ik een digibeet ben, met te veel vertrouwen. Maar volgens mij zijn de "lekken" vooral problematisch (als ze al voorkomen lees misbruikt worden) met wachtwoorden welke je op de smartphone ed laat "onthouden"
Volgens mij was/is de SNS app als volgt in te stellen en maakt "lekken" onmogelijk of waardeloos.
* De eerste keer geld overmaken naar een niet gebruikte rekening, via de app, moet via de digipas.
* Vervolg overboekingen kunnen alleen worden ingezet na het ingeven van een wachtwoord (zo loop je niet altijd met een digipas rond).
--> Dit klopt toch, SNS?

Zo lijkt het mij echt waterdicht. In ieder geval zo waterdicht dat het normaliter niet lukt om onrechtmatig geld van een rekening af te sluizen. Doemscenario's met kansberekening zullen zeker gemaakt zijn en worden door banken en betrokkenen. Maar is het niet zo dat alles wat we doen binnen een aanvaardbaar risico valt, ook het oversteken van de straat en vliegen met een vliegtuig....


Gebruikers van de mobiele app kunnen tegenwoordig instellen dat ze met alleen een pincode ook naar vreemde rekeningen geld kunnen overmaken. Je kunt dan zelf een limiet bepalen.

En wat lekken betreft
http://www.nu.nl/mobiel/4096166/ernstig-android-lek-laat-hacker-telefoon-overnemen.html
vertelt dat
"Hierdoor is het eenvoudig om onopgemerkt telefoons binnen te dringen zonder dat de gebruikers het merken. De hackers kunnen vervolgens onder meer data kopiëren, data verwijderen en de microfoon en camera overnemen en zo gesprekken afluisteren."

Dat moet toch mogelijkheden bieden, dacht ik zo. Bijvoorbeeld een app die ook je invoer opslaat en opstuurt.
Badge +1
Goedemiddag allen,

De belangrijkste factor in veilig bankieren via een app of een computer ben jij als gebruiker zelf. Het is dan inderdaad ons advies om altijd gebruik te maken van een beveiligde verbinding. Dat staat los van hoe veilig onze app is en hoe onze versleutelingen werken. Hier geven we geen verdere informatie over maar het is belangrijk om te weten dat er dag en nacht een team bezig is met alle dataverkeer te controleren op veiligheid en ook onze transacties worden gecontroleerd. We doen er alles aan om onze gebruikers een zo veilig mogelijke omgeving aan te bieden en we blijven hier ook scherp op acteren.

Naast het instellen van de wijze van betalingen, waarbij altijd een limiet van 500 euro is, kun je zoals gezegd zelf de limiet extra omlaag zetten. Bij deze wijziging is er een digipas nodig om de keuze aan te passen. De kans dat je dit per ongeluk instelt op een wijze die je niet prettig vindt, is dus klein.
Reputatie 2
Badge
Goedemiddag allen,

De belangrijkste factor in veilig bankieren via een app of een computer ben jij als gebruiker zelf. Het is dan inderdaad ons advies om altijd gebruik te maken van een beveiligde verbinding. Dat staat los van hoe veilig onze app is en hoe onze versleutelingen werken. Hier geven we geen verdere informatie over maar het is belangrijk om te weten dat er dag en nacht een team bezig is met alle dataverkeer te controleren op veiligheid en ook onze transacties worden gecontroleerd. We doen er alles aan om onze gebruikers een zo veilig mogelijke omgeving aan te bieden en we blijven hier ook scherp op acteren.


Het is natuurlijk een hele eer dat jullie ons als klant/gebruiker als belangrijkste factor in veilig bankieren zien maar wij zijn toch afhankelijk van de software waarmee we werken.

En als jullie niets willen/kunnen zeggen over de beveiliging dan moet ik verder kijken

8 januari 2014 verscheen er een artikel dat ging over de veiligheid van mobiel bankieren apps:
The research used iPhone/iPad devices to test a total of 40 home banking apps from the top 60 most influential banks in the world.
Een paar conclusies:
40% of the audited apps did not validate the authenticity of SSL certificates presented. This makes them susceptible to Man in The Middle (MiTM) attacks.
Many of the apps (90%) contained several non-SSL links throughout the application. This allows an attacker to intercept the traffic and inject arbitrary JavaScript/HTML code in an attempt to create a fake login prompt or similar scam.
Moreover, it was found that 50% of the apps are vulnerable to JavaScript injections via insecure UIWebView implementations. In some cases, the native iOS functionality was exposed, allowing actions such as sending SMS or emails from the victim’s device.
Zie hiervoor
http://blog.ioactive.com/2014/01/personal-banking-apps-leak-info-through.html

Deze maand een verhaal over mobiele apps in het algemeen, waaronder ook weer apps voor bankieren:
The results found during this research are no less than alarming. The average number of
vulnerabilities per application based analysis of hundreds of applications of all types, stands at
9.041 vulnerabilities per Application. This number consists of all severity levels.
38% of vulnerabilities exposed are of critical or high severity.
An average of 3.435 Critical or high vulnerabilities are exposed per app.
Dit staat in de pdf die ik gedownload heb van:
https://www.checkmarx.com/white_papers/the-state-of-mobile-application-security-2014-2015/
Als iemand de pdf wil lezen, stuur mij een prive bericht en ik regel dat.

Waarbij het blijkbaar niet eens klopt dat Iphone gebruikers beter af zijn dan android:
http://webwereld.nl/algemeen/90366-ios-nog-onveiliger-dan-android
Nu hoeft dat niet voor jullie app te gelden maar als de 60 meest invloedrijke banken het al zo slecht voor elkaar hebben. En als er een jaar later nog steeds zoveel fout is. Dan moet je toch wel een keer extra nadenken voordat je daar je financiën aan toe vertrouwt?
Goedemiddag allen,
... Dat staat los van hoe veilig onze app is en hoe onze versleutelingen werken. Hier geven we geen verdere informatie over


Security through Obscurity Is ten diepste een zwakte bod. Zoals Eva al aan geeft uit dat onderzoek, is het gewoon een kwestie van uitzoeken hoe e.e.a. werkt. Er zijn tools genoeg die je laten meekijken. Android emulators op een PC geven je volledige controle over alles en elke App. (De kracht van de-compilers gaat tegenwoordig zo ver dat ze kunnen ontdekken met welke compiler en versie software gecompileerd is en de resultaten laten gewoon de source regels zien.) Het leuke is dat de mensen waar we (de SNS) bang voor moeten zijn, die tools gewoon hebben en het is enkel een kwestie van tijd voordat alles uitgeplozen is.
Beter zou zijn als de banken b.v. samen de fundering zouden leggen voor de beveiliging van een Bank - App en dat elke bank daarbinnen zijn eigen zaken regelt, zonder in staat te zijn de beveiliging geweld aan te doen. Deze gegevens netjes publiceren zodat anderen je attent kunnen maken met hun kennis op gemiste kansen of achterhaalde technieken.

P.S.
Eva ik zou ook maar op zwart gaan...
Reputatie 3
Badge +1
Goedemiddag allen,
... Dat staat los van hoe veilig onze app is en hoe onze versleutelingen werken. Hier geven we geen verdere informatie over


Security through Obscurity Is ten diepste een zwakte bod. Zoals Eva al aan geeft uit dat onderzoek, is het gewoon een kwestie van uitzoeken hoe e.e.a. werkt.


De genoemde term "security through obscurity" heeft weinig te maken met het niet onthullen van hoe de beveiliging is geregeld. Als security expert ben ik van mening dat er genoeg redenen zijn waarom je de genomen beveiligingsmaatregelen niet op internet publiceert.

De term "security by obscurity" komt uit de wereld van cryptografie. De effectiviteit van een goed cryptografisch algoritme mag niet afhankelijk zijn van het geheim zijn van dit algoritme, maar slechts afhankelijk zijn van het geheim zijn van de sleutel. Van goede algoritmen is de werking publiek bekend, opdat iedereen kan toetsen of het goed in elkaar zit. Voorbeelden daarvan zijn 3DES en AES. De mate van beveiliging is dus alleen afhankelijk van het geheimhouden van de sleutel, en de lengte van de sleutel (korte sleutels zijn met steeds sneller wordende computers makkelijker te raden, domweg door alle mogelijkheden van enen en nullen uit te proberen).

Slechte voorbeelden kennen we ook: het CRYPTO-1 protocol dat in contactloze Mifare kaarten wordt gebruikt (o.a. voor het OV). Toen dit algoritme was ontrafeld door onderzoekers van de Radboud Universiteit, bleek dat het slecht was ontworpen en nog slechter was geïmplementeerd door NXP op de chip. Niet alleen de sleutels waren erg kort (48 bit), maar door ontwerpfouten in het algoritme is de effectieve sleutellengte (lees: het aantal pogingen om de juiste sleutel te raden) veel lager dan 2 tot de macht 48.

Beveiligingsmaatregelen zijn meer dan alleen het gebruik van cryptografie. Zowel de website als de app maken (als het goed is) van gerenommeerde open standaarden in cryptografie. Waar het hier om draait is dat de beveiliging van elektronisch bankieren voor een deel afhangt van componenten die niet onder controle staan van de bank; de mobiele telefoon, tablet PC of laptop van de eindgebruiker. De bank maakt daarbij grofweg onderscheid in 2 kanalen: de app en de website (via een generieke browser). Op elk van de kanalen maakt de bank een afweging van alle beveiligingsrisico's. Dat zijn dus niet alleen technische risico's zoals de gebruikte cryptografische algoritmen en het aantal mogelijke exploits op het onderliggende operating system. Vooral de risico's die te maken hebben met 'social engineering' en de effectiviteit van passende maatregelen spelen een belangrijke rol. De mens is praktisch altijd de zwakste schakel in beveiliging. Juist de maatregelen op de 'zachte kant' van de beveiliging zijn gebaat bij geheimhouding.

Reageer