![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Let op: Tweakers stopt per 2023 met Tweakblogs. In
dit artikel
leggen we uit waarom we hiervoor hebben gekozen.
Digipas van de ASN Bank veilig?
Ha Tweakers,
Afgelopen week zijn mijn vriendin en ik overgestapt naar de ASN bank. Tot nu toe verloopt alles soepel, en met de overstapservice die elke bank aanbied heb je eigenlijk weinig redenen meer om te twijfelen. Echter loop ik tegen het onderstaande probleem aan:
De enveloppen waarin de ASN haar Digipas (authentificatie kastje) stuurt zijn ruim en bevatten een doorzichtig venster. Zonder veel moeite kan je hierdoor de digipas voor het venser schuiven en daardoor het persoonlijke serienummer van de Digipas zien. Dit is bij de bank gekoppeld aan mijn naam en adres die tevens op dezelfde brief staan. Het persoonlijke serienummer van de Digipas is nodig om in te loggen bij ASN Internetbankieren, naast een wachtwoord wat door het kastje gegenereerd wordt.
Hierbij een foto en een video ter verduidelijking:
:strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium "https://tweakers.net/i/ne6PCsU8pipWwMrMCN1Ac0478-k=/234x176/filters:strip_icc():strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium")
"Ik heb bovenstaande gemeld als mogelijk beveiligingsprobleem bij de ASN met de vraag mij een nieuwe Digipas op te sturen in gesloten enveloppe. Helaas blijkt dit niet mogelijk, en reageert de ASN als volgt:
De ASN Digipas is inderdaad strikt persoonlijk, en wij doen er dan ook alles aan om te zorgen dat uitsluitend de digipashouder de pas kan gebruiken. Het feit dat het mogelijk is om de digipas in de envelop zo te verschuiven dat het serienummer leesbaar is, is geen ernstig veiligheidsrisico. Ik wil u daar twee redenen voor geven.
Ten eerste is het serienummer van de pas geen beveiligingscode. Je kunt het serienummer bij een betaling of een autorisatie niet zelf invullen. Bij het inloggen vult u het serienummer wel, maar vervolgens moet u de desbetreffende digipas in handen hebben om de responscode te berekenen. Met alleen het serienummer kun je niets.
Ten tweede kan alleen de postbode of een huisgenoot de pas in de envelop proberen te lezen. Als die persoon kwaad zou willen zal hij het niet bij het lezen van het serienummer houden - daar kan hij immers niets mee. Hij zal de envelop dan wellicht achterhouden en proberen de envelop met de initiële pincode te onderscheppen. Met die gegevens kan hij namelijk wel inloggen. Zou u dus geen enveloppen met de digipas en code ontvangen, dan is er wel een serieus veiligheidsrisico."
Als de ASN mij verzekert dat ik mij geen zorgen hoef te maken dan wil ik daar zeker in mee gaan. Ik vind het echter wel opvallend dat ze hier geen veiligheidsrisico in zien. Ze markeren hun brieven ten slotte ook zonder merknaam en logo, en geven als eerste reactie op mijn mail ook aan dat "het niet goed is dat de postbode de digipas in de envelop kan zien.".
Wat denken jullie? Heb ik te veel Darknet Diaries (Luistertip!) geluisterd of vinden jullie dit een beveiligings-issue?
Ben benieuwd naar jullie mening.
Afgelopen week zijn mijn vriendin en ik overgestapt naar de ASN bank. Tot nu toe verloopt alles soepel, en met de overstapservice die elke bank aanbied heb je eigenlijk weinig redenen meer om te twijfelen. Echter loop ik tegen het onderstaande probleem aan:
De enveloppen waarin de ASN haar Digipas (authentificatie kastje) stuurt zijn ruim en bevatten een doorzichtig venster. Zonder veel moeite kan je hierdoor de digipas voor het venser schuiven en daardoor het persoonlijke serienummer van de Digipas zien. Dit is bij de bank gekoppeld aan mijn naam en adres die tevens op dezelfde brief staan. Het persoonlijke serienummer van de Digipas is nodig om in te loggen bij ASN Internetbankieren, naast een wachtwoord wat door het kastje gegenereerd wordt.
Hierbij een foto en een video ter verduidelijking:
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=user_large "https://tweakers.net/i/ne6PCsU8pipWwMrMCN1Ac0478-k=/234x176/filters:strip_icc():strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium")
"Ik heb bovenstaande gemeld als mogelijk beveiligingsprobleem bij de ASN met de vraag mij een nieuwe Digipas op te sturen in gesloten enveloppe. Helaas blijkt dit niet mogelijk, en reageert de ASN als volgt:
De ASN Digipas is inderdaad strikt persoonlijk, en wij doen er dan ook alles aan om te zorgen dat uitsluitend de digipashouder de pas kan gebruiken. Het feit dat het mogelijk is om de digipas in de envelop zo te verschuiven dat het serienummer leesbaar is, is geen ernstig veiligheidsrisico. Ik wil u daar twee redenen voor geven.
Ten eerste is het serienummer van de pas geen beveiligingscode. Je kunt het serienummer bij een betaling of een autorisatie niet zelf invullen. Bij het inloggen vult u het serienummer wel, maar vervolgens moet u de desbetreffende digipas in handen hebben om de responscode te berekenen. Met alleen het serienummer kun je niets.
Ten tweede kan alleen de postbode of een huisgenoot de pas in de envelop proberen te lezen. Als die persoon kwaad zou willen zal hij het niet bij het lezen van het serienummer houden - daar kan hij immers niets mee. Hij zal de envelop dan wellicht achterhouden en proberen de envelop met de initiële pincode te onderscheppen. Met die gegevens kan hij namelijk wel inloggen. Zou u dus geen enveloppen met de digipas en code ontvangen, dan is er wel een serieus veiligheidsrisico."
Als de ASN mij verzekert dat ik mij geen zorgen hoef te maken dan wil ik daar zeker in mee gaan. Ik vind het echter wel opvallend dat ze hier geen veiligheidsrisico in zien. Ze markeren hun brieven ten slotte ook zonder merknaam en logo, en geven als eerste reactie op mijn mail ook aan dat "het niet goed is dat de postbode de digipas in de envelop kan zien.".
Wat denken jullie? Heb ik te veel Darknet Diaries (Luistertip!) geluisterd of vinden jullie dit een beveiligings-issue?
Ben benieuwd naar jullie mening.
oef tweakers
[full]
![[full]](http://i.imgur.com/ElA1qcM.jpg){kind=link}
*cookies wissen zich bij het afsluiten van firefox, vandaar dat ik elke keer een coockiebanner krijg voordat ik ingelogt ben.