SNS

Beantwoord

Beveiliging website SNS

  • 22 februari 2017
  • 30 Reacties
  • 4131 Keer bekeken

Als ik dit artikel over beveiliging van websites lees, vraag ik mij af hoe het bij de SNS is geregeld.
Ze schrijven o.a. "....Banken zouden de belangrijkste gebruikers van DNSSEC moeten zijn, schrijft de SIDN. Ze hebben het meeste last van phishing en namaaksites, maar scoren juist het slechtst. Dat is volgens de SIDN reden tot zorg. 'Met het sluiten van de fysieke bankkantoren en het verminderen van het aantal pinautomaten wordt de online voordeur van de banken steeds belangrijker'... "
icon

Beste antwoord door eRik19 22 februari 2017, 20:25

@Blacktomcat, je hebt deze post gemist.
Bekijk origineel

30 reacties

Ik had eerst iedereen door "Allen" willen vervangen, doch vond het er toen niet duidelijker op worden.
Hoewel...........
Reputatie 2
Badge +1
@Blacktomcat: jij hebt hem door! Voor de volledigheid had je 'iedereen' ook moeten vervangen door een eigennaam. Maar ik ben blij dat je mijn naam niet hebt gebruikt als vervanger voor 'iedereen' 😉
Persoonlijk vind ik het prettig om voor belangrijke zaken zoals de hypotheek, of grotere bedragen een digipas te gebruiken. De reden? Een digipas is een volledig offline stukje hardware; ik kan er op vertrouwen dat er geen malware op staat waardoor iemand wellicht toch kan meeluisteren.
Nu vervang ik iemand door "Jan" en niemand door "Stefan". Dan krijgen we dit:

Op een dag moest er een belangrijke opdracht worden vervuld.
Iedereen werd gevraagd dit te doen.
Iedereen dacht echter dat Jan het wel zou doen.
En hoewel iedereen het kon, deed Stefan het.
Hierdoor werd Jan boos, omdat het de taak was van iedereen en nu had Stefan het gedaan.
iedereen dacht dat Jan het had kunnen doen, maar Stefan had zich gerealiseerd dat iedereen het niet wilde doen.
Aan het eind beschuldigde iedereen Jan, omdat Stefan deed wat iedereen had kunnen doen.[/quote]

Ben ik toch maar blij dat ik "Jan" heet en niet "iemand".
Zo zie je maar weer eens: stel nooit uit tot morgen wat je gisteren door iemand anders had kunnen laten doen...
Reputatie 2
Badge +1
Bij de spreuk van 'sprout' moet ik meer denken aan onderstaande:
...
Op een dag moest er een belangrijke opdracht worden vervuld.
Iedereen werd gevraagd dit te doen.
Iedereen dacht echter dat iemand het wel zou doen.
En hoewel iedereen het kon, deed niemand het.
Hierdoor werd iemand boos, omdat het de taak was van iedereen en nu had niemand het gedaan.
Iedereen dacht dat iemand het had kunnen doen, maar niemand had zich gerealiseerd dat iedereen het niet wilde doen.
Aan het eind beschuldigde iedereen iemand, omdat niemand deed wat iedereen had kunnen doen.
Offtopic: Die van Stefan is sterker
Dat was ook het eerste dat bij mij bovenkwam. Veel sterker.
Badge +1
Offtopic: Die van Stefan is sterker en heeft in het verleden de wereld veranderd. Doemdenken laat nog steeds de mogelijkheid open dat het 'theoretisch' kan, de vraag is dan of je je laat 'de-inspireren' door je omgeving. Maar om tegen de gevestigde orde en 'waarheid' in te gaan is meer voor nodig. Ik moet dan aan platlanders denken, waarbij er één toch met een 3D-wereld model komt. Of de moderne physica theoriën die tegen begirppen als localiteit ingaan.
Maar het is voor ondernemers misschien wel genoeg uitdaging om over hun vooroordelen heen te stappen....
Reputatie 2
Badge +1
@Koos: klopt; een dubbele authenticatie op basis van een geheim (zoals een wachtwoord) is dus geen 2-factor authenticatie. Voor een kwaadwillende is het namelijk relatief eenvoudig om (als je het eerste geheim hebt weten te ontfutselen) ook het tweede geheim te pakken te krijgen. Dus dat levert weinig toegevoegde waarde voor beveiliging.

@Blacktomcat: grappig, een iets andere variant van dezelfde spreuk 🙂
PS: ik heb mijn onderschrift ook niet zelf verzonnen, maar kwam deze ergens tegen op internet in een lijstje van leuke spreuken (zonder verdere bronvermelding).
@Stefan even off topic. Dit kwam ik vanmorgen in de digitale nieuwsbrief van Sprout tegen. De quote van de dag.

Ik wil een suggestie doen voor het inloggen op mijn sns en de mobiel bankieren app.we gebruiken nu een digipas om in te loggen op mijn sns.Is het geen idee om straks alles via de mobiele app te doen.een code ontvangen via de app.En dan kunnen inloggen op de website.
Of een QR code en deze dan scannen met een mobiel apparaat?

Is dit niet veel handiger en veiliger.

Hoi crazydave,

Onze ontwikkelaar vindt het een goede suggestie, we gaan kijken of en hoe we dit kunnen invullen. Zodra er meer bekend is, lees je dat hier.
Dus die tweetrapsverificatie zit wel goed... ;)
Dan slaat die 2-traps niet zozeer op de twee fases, maar meer op het aantal instanties. Immers, SNS beveiliging is dan deels gebaseerd op het vertrouwen in de beveiliging van de Apples en Huawei's van deze wereld.
Reputatie 2
Badge +1
2-factor authenticatie is meestal gebaseerd op iets wat je weet (geheim wachtwoord en/of pincode) + iets wat je hebt (token of in mijn geval smartphone). Een derde factor kan zijn: iets wat je bent (vingerafdruk, irisscan, etc.).

Dus die tweetrapsverificatie zit wel goed... 😉
@Stefan, als jij slechts één device hebt, nl. je smartphone, hoe zie jij dan die tweetrapsidentificatie voor je?
Reputatie 2
Badge +1
Ik denk dat keuzevrijheid voor de klant belangrijk is, naast natuurlijk het beoogde niveau van beveiliging. Het gaat de SNS bank er immers om dat ze met voldoende zekerheid kunnen vaststellen dat de echte rekeninghouder opdracht geeft tot een financiële transactie.

In mijn geval zou een 2-factor authenticatie via mijn smartphone een uitstekende optie zijn, omdat ik dat ding altijd bij me heb en meteen actie onderneem als dat niet zo is. Daarnaast is het de verwachting dat de smartphone steeds beter wordt om mij te herkennen via biometrische eigenschappen zoals de vingerafdruk, de manier waarop ik beweeg (i.c.m. een smartwatch) en straks misschien ook spraak en/of gezichtsherkenning. Daarentegen zou ik er in het slechtste geval pas na enkele maanden achter komen dat ik mijn digipas kwijt ben geraakt. Hij ligt daarom niet voor niets achter slot en grendel, maar daarmee is het voor mij persoonlijk een slecht middel om mijzelf te identificeren bij de SNS bank.

Voor andere mensen kan ik me ook de omgekeerde situatie voorstellen: geen smartphone, laat staan een specifieke app waarmee de 2-factor authenticatie geregeld kan worden. Maar wel regelmatig gebruik van de digipas. Prima toch? Laat de klant gewoon kiezen!
Met een device heeft een tweetrapsraket waarschijnlijk weinig zin. Via de app inloggen en dan op hetzelfde apparaat een sms-code krijgen die je weer in de app moet invullen, voegt, denk ik, weinig toe aan extra veiligheid. De toekomst zal het uitwijzen. Duidelijk is wel dat banken met meer scenario's rekening moeten houden dan een aantal jaren terug.
Badge +1
Je ziet steeds meer een tweetrapsidentificatie. Het idee is op zich dus niet vreemd of verkeerd.
Dit wordt lastiger naarmate mensen nog maar één device (mobile telefoon) gebruiken/hebben, want je moet de taken en devices wel gescheiden houden.
Hoi crazydave,

Leuk dat je zo actief met ons meedenkt. Niet iedereen maakt gebruik van de mobiele app (zoals Blacktomcat ook aangeeft), dus het is niet mogelijk om de inlogmethode volledig te vervangen.

we gebruiken nu een digipas om in te loggen op mijn sns.
Het is nog "erger". In de meeste gevallen log ik in met gebruikersnaam/wachtwoord...
Je ziet steeds meer een tweetrapsidentificatie. Het idee is op zich dus niet vreemd of verkeerd.
Hoi crazydave,

Leuk dat je zo actief met ons meedenkt. Niet iedereen maakt gebruik van de mobiele app (zoals Blacktomcat ook aangeeft), dus het is niet mogelijk om de inlogmethode volledig te vervangen. Ik vraag voor je na wat de mogelijkheden zijn om zo'n inlogmethode te gebruiken naast het huidige systeem.
En zij die de app niet hebben?
Ik wil een suggestie doen voor het inloggen op mijn sns en de mobiel bankieren app.we gebruiken nu een digipas om in te loggen op mijn sns.Is het geen idee om straks alles via de mobiele app te doen.een code ontvangen via de app.En dan kunnen inloggen op de website.
Of een QR code en deze dan scannen met een mobiel apparaat?

Is dit niet veel handiger en veiliger.
Badge +1
Ik heb het even opgezocht: Microsoft wint beroepszaak over verstrekken e-mail in EU-datacenter aan VS, maar er is blijkbaar al wel weer een andere uitspraak die betrekking heeft op Amerikaanse staatsburgers.
Maar amazon zegt zelf:
We are vigilant about our customers' privacy. We do not disclose customer content unless we're required to do so to comply with the law or a valid and binding order of a governmental or regulatory body. Governmental and regulatory bodies need to follow the applicable legal process to obtain valid and binding orders, and we review all orders and object to overbroad or otherwise inappropriate ones. Unless prohibited from doing so or there is clear indication of illegal conduct in connection with the use of Amazon products or services, Amazon notifies customers before disclosing customer content so they can seek protection from disclosure. It's also important to point out that our customers can encrypt their customer content, and we provide customers with the option to manage their own encryption keys.


Daarnaast is de Europese Unie ook bezig met verdragen en regelgeving: het is een complex spel. Amazon heeft daar een special pagina aan gewijd: EU Data Protection.

P.S.
M.b.t dit forum maakt het helemaal niet uit omdat het forum toch zoekbaar is voor google....
Reputatie 2
Badge +1
Als ik me goed herinner heeft recent een Amerikaans rechter een uitspraak gedaan dat Amerikaanse bedrijven niet verplicht kunnen worden om gegevens die op niet-Amerikaanse servers staan door te spelen aan de NSA etc.
Dit laatste wist ik niet; ik was nog in de veronderstelling dat Amerikaanse bedrijven inmiddels verplicht waren ook de data in het buitenland (van niet-Amerikanen) te ontsluiten voor de NSA.
Badge +1
@Stefan, Insided maakt gebruik van de cloud capaciteit van Amazon. Amazon heeft over de hele wereld computer centra staan. Uit de naam kun je halen dat de zone eu-west-1 is. Volgens mij is dit Ierland (zie link).

De grote cloud aanbieders doen dit onder meer om tegemoet te komen aan locale wetten. Informatie van bv de Duitse overheid moet in Duitsland worden opgeslagen en mag het land niet uit. Daarom heeft Amazon ook centra in Duitsland.

Als ik me goed herinner heeft recent een Amerikaans rechter een uitspraak gedaan dat Amerikaanse bedrijven niet verplicht kunnen worden om gegevens die op niet-Amerikaanse servers staan door te spelen aan de NSA etc.

Reageer