Radar

peter17111962 schreef: ↑

12 aug 2023 14:44

Ik die niet aan internetbankieren zit ook niet bij de SNS bank, maar die browsercode gebruiken valt voor mij af. (...) Cookies en browsergeschiedenis wis ik iedere keer als ik mijn computer uitzett

U kunt de website van SNS toch bij de uitzonderingen opnemen? Dan worden alle cookies gewist, behalve die van SNS.

Cookies kunnen op afstand uitgelezen worden. Als de encryptie eenmaal gekraakt is zijn de rapen gaar ........

Door meerdere cookies met elkaar te vergelijken krijg je hetzelfde als hoe de Amerikanen voor de slag van midway de Japanse code hebben gekraakt. Opeens hadden ze 1 woord gevonden, toen was het simpel een radiobericht verzenden om wederom een gecodeerd radiobericht uit te lokken met dat woord er in en tsjakka, ze hadden bevestiging.

Kijk naar laatst, waarop het UWV betrapt is door met cookies tree werken.

Erthanax schreef: ↑

12 aug 2023 16:08

peter17111962 schreef: ↑

12 aug 2023 14:44

Ik die niet aan internetbankieren zit ook niet bij de SNS bank, maar die browsercode gebruiken valt voor mij af. (...) Cookies en browsergeschiedenis wis ik iedere keer als ik mijn computer uitzett

U kunt de website van SNS toch bij de uitzonderingen opnemen? Dan worden alle cookies gewist, behalve die van SNS.

Veel te oplossingsgericht. Ondertussen doen alle Nederlanders onder de vijfenveertig alle bankzaken met hun mobiel maar voor iedereen boven de zestig is dat blijkbaar levensgevaarlijk.

Wat kan er gebeuren dan? Ik doe het bij voorbaat maar op mijn Ipad. De middenweg.

Il doe vrijwel alle bankzaken met mn telefoon. Ideaal.

DeZevendeHenk schreef: ↑

12 aug 2023 21:26

Ondertussen doen alle Nederlanders onder de vijfenveertig alle bankzaken met hun mobiel maar voor iedereen boven de zestig is dat blijkbaar levensgevaarlijk.

En die tussen de 45 en 60?

ghandi_ii schreef: ↑

12 aug 2023 17:24

Cookies kunnen op afstand uitgelezen worden.

Dan moet je device wel gecompromitteerd zijn.

ghandi_ii schreef: ↑

12 aug 2023 17:24

Door meerdere cookies met elkaar te vergelijken krijg je hetzelfde als hoe de Amerikanen voor de slag van midway de Japanse code hebben gekraakt. Opeens hadden ze 1 woord gevonden, toen was het simpel een radiobericht verzenden om wederom een gecodeerd radiobericht uit te lokken met dat woord er in en tsjakka, ze hadden bevestiging.

Wat jij beschrijft is een chosen plaintext attack. Moderne cryptografische systemen voor authenticatie zijn daar niet gevoelig voor.

Maar ik denk dat we nog steeds iets missen omdat als het alleen dat cookie was het simpelweg kopieren van dat cookie naar een andere browser wel zou werken. Ik zit eerder te denken in de richting dat het cookie een encrypted private key is en dat de bank een nonce opstuurt, de gebruiker het cookie met zijn pincode unlocked en browser een signature zet over nonce + iets device specifieks (user agent string, iets uit local storage of ???).
Totdat er een duidelijke uitleg is over hoe het werkt ben ik wel geneigd om het als minder veilig dan een hardware gebaseerde oplossing (zoals een mobiele telefoon app) te beshouwen.

jochemd schreef: ↑

12 aug 2023 22:36

cookie

encrypted private key

een nonce

de gebruiker het cookie met zijn pincode unlocked

browser een signature zet over nonce

user agent string,

iets uit local storage of ???

Totdat er een duidelijke uitleg is over hoe het werkt

jochemd schreef: ↑

12 aug 2023 22:36

ghandi_ii schreef: ↑

12 aug 2023 17:24

Cookies kunnen op afstand uitgelezen worden.

Dan moet je device wel gecompromitteerd zijn.

ghandi_ii schreef: ↑

12 aug 2023 17:24

Door meerdere cookies met elkaar te vergelijken krijg je hetzelfde als hoe de Amerikanen voor de slag van midway de Japanse code hebben gekraakt. Opeens hadden ze 1 woord gevonden, toen was het simpel een radiobericht verzenden om wederom een gecodeerd radiobericht uit te lokken met dat woord er in en tsjakka, ze hadden bevestiging.

Wat jij beschrijft is een chosen plaintext attack. Moderne cryptografische systemen voor authenticatie zijn daar niet gevoelig voor.

Maar ik denk dat we nog steeds iets missen omdat als het alleen dat cookie was het simpelweg kopieren van dat cookie naar een andere browser wel zou werken. Ik zit eerder te denken in de richting dat het cookie een encrypted private key is en dat de bank een nonce opstuurt, de gebruiker het cookie met zijn pincode unlocked en browser een signature zet over nonce + iets device specifieks (user agent string, iets uit local storage of ???).
Totdat er een duidelijke uitleg is over hoe het werkt ben ik wel geneigd om het als minder veilig dan een hardware gebaseerde oplossing (zoals een mobiele telefoon app) te beshouwen.

Ondertussen wat verder gekeken: het is in ieder geval geen simpele cookie. Ik ga eens zoeken of ergens een white paper is te vinden over deze manier van authn en authz.

Welke batterij in digipas?
U kan de batterijen van uw digipass vervangen (2 CR2032 batterijen). Na vervanging van de batterijen dient u een synchronisatie van het toestel uit te voeren.

rene65 schreef: ↑

12 aug 2023 10:24

Ik ben al IT beheerder sinds het dos tijdperk.

Da's fijn, maar al die ervaring lees ik niet terug in je reacties. De vraag is dus hoe relevant die ervaring nu precies is.

Lady1234 schreef: ↑

12 aug 2023 22:10

Wat kan er gebeuren dan? Ik doe het bij voorbaat maar op mijn Ipad. De middenweg.

Gebruikt m'n moeder ook, niet dat gepriegel van een telefoon en tien keer handiger dan een pc. Maar een niet nader aan te duiden groep weet zeker dat je bankiert met een pc, zo hoort dat.

witte angora schreef: ↑

12 aug 2023 22:23

DeZevendeHenk schreef: ↑

12 aug 2023 21:26

Ondertussen doen alle Nederlanders onder de vijfenveertig alle bankzaken met hun mobiel maar voor iedereen boven de zestig is dat blijkbaar levensgevaarlijk.

En die tussen de 45 en 60?

Overgangsgebied natuurlijk. Die mogen kiezen.

jochemd schreef: ↑

12 aug 2023 13:45

Waarom zou de digipass een hoger veiligheidsniveau bieden dan oplossingen zoals de digipass van van Labschot, de Random Reader + pinpas van de Rabobank of de eDentifier + pinpas van de ABN AMRO?

Nou 2 redenen:
A. Die van de Rabo en ABN zijn niet uniek maar universeel en bij alle klanten te gebruiken. Die van SNS en ING is persoons- of rekeninggebonden.
B. Die van Rabo en ABN werken met de pincode van je betaalpas. Die gebruik je buitenshuis. Hoe vaak is niet in het nieuws dat die afgekeken worden of aan een zgn. "Bankmedewerker" worden gegeven....En alle benodigde gegevens staan op de betaalpas afgedrukt. Met de ontfutselde pas+pin heb je als boef dus volledige toegang. Die van SNS is een andere 5-cijferige code die je niet buitenshuis gebruikt en die alleen zinvol is i.c.m. je unieke digipas die je ook niet in een winkel of geldautomaat gebruikt. Een stuk moeilijker te ontfutselen hoewel er best wel mensen zullen zijn die ook de digipas+bijbehorende code vrijwillig aan een crimineel geven.

Maar met je betaalpas kan je niet inloggen op je ING rekening.

Maar als je de sleutel van je voordeur en de sleutels van je kluis aan een inbreker geeft, kan hij ook vlug werken zonder de boel te hoeven slopen.

Hallo rene65,

Zelf heb ik een Digipas èn een browsercode.

De Digipas gaat nooit leeg want hij werkt op zonne-energie. Die van u niet dan?

De browsercode werkt alleen op mijn computer en alleen in Firefox. De pincode sla je op in je hoofd (vijf cijfers).

Het enige wat inderdaad belangrijk is: het cookie niet verwijderen.

Ik doe dit met behulp van de CCleaner waar je handige cookies naar keuze kunt behouden. En dan dus alleen schoonmaken met de CCleaner en niet binnen Firefox.

De browsercode is echt superhandig en superveilig.

Hetzelfde geldt voor de Digipas.

CC cleaner? ik hoop toch dat er geen kosten aan verbonden zijn.
Ik draai een x per maand ADWcleaner. Kost niets en wordt iedere keer geupdate naar een nieuwere versie.

Morgan le Fay schreef: ↑

14 aug 2023 13:18

CC cleaner? ik hoop toch dat er geen kosten aan verbonden zijn.

CC Cleaner is ook gewoon gratis en staat bekend als één van de besten. Enige waar je scherp op moet zijn is dat je niets mee-installeert bij een update (ff vinkje uitzetten).

Inloggen kan met de SNS App (met QR-code), digipas of digicode. Heb je een betaalrekening bij ons? Dan kun je ook inloggen met een browsercode

Net als andere banken stopt SNS met de eigen two-factor-authentification apparaten en gaan ze gebruik maken van een app op je telefoon waarmee je een QR code scant.