![[RSS]](https://tweakers.net/g/if/v2/icons/rss_small.png){kind=icon}
Let op: Tweakers stopt per 2023 met Tweakblogs. In
dit artikel
leggen we uit waarom we hiervoor hebben gekozen.
Digipas van de ASN Bank veilig?
Ha Tweakers,
Afgelopen week zijn mijn vriendin en ik overgestapt naar de ASN bank. Tot nu toe verloopt alles soepel, en met de overstapservice die elke bank aanbied heb je eigenlijk weinig redenen meer om te twijfelen. Echter loop ik tegen het onderstaande probleem aan:
De enveloppen waarin de ASN haar Digipas (authentificatie kastje) stuurt zijn ruim en bevatten een doorzichtig venster. Zonder veel moeite kan je hierdoor de digipas voor het venser schuiven en daardoor het persoonlijke serienummer van de Digipas zien. Dit is bij de bank gekoppeld aan mijn naam en adres die tevens op dezelfde brief staan. Het persoonlijke serienummer van de Digipas is nodig om in te loggen bij ASN Internetbankieren, naast een wachtwoord wat door het kastje gegenereerd wordt.
Hierbij een foto en een video ter verduidelijking:
:strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium "https://tweakers.net/i/ne6PCsU8pipWwMrMCN1Ac0478-k=/234x176/filters:strip_icc():strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium")
"Ik heb bovenstaande gemeld als mogelijk beveiligingsprobleem bij de ASN met de vraag mij een nieuwe Digipas op te sturen in gesloten enveloppe. Helaas blijkt dit niet mogelijk, en reageert de ASN als volgt:
De ASN Digipas is inderdaad strikt persoonlijk, en wij doen er dan ook alles aan om te zorgen dat uitsluitend de digipashouder de pas kan gebruiken. Het feit dat het mogelijk is om de digipas in de envelop zo te verschuiven dat het serienummer leesbaar is, is geen ernstig veiligheidsrisico. Ik wil u daar twee redenen voor geven.
Ten eerste is het serienummer van de pas geen beveiligingscode. Je kunt het serienummer bij een betaling of een autorisatie niet zelf invullen. Bij het inloggen vult u het serienummer wel, maar vervolgens moet u de desbetreffende digipas in handen hebben om de responscode te berekenen. Met alleen het serienummer kun je niets.
Ten tweede kan alleen de postbode of een huisgenoot de pas in de envelop proberen te lezen. Als die persoon kwaad zou willen zal hij het niet bij het lezen van het serienummer houden - daar kan hij immers niets mee. Hij zal de envelop dan wellicht achterhouden en proberen de envelop met de initiële pincode te onderscheppen. Met die gegevens kan hij namelijk wel inloggen. Zou u dus geen enveloppen met de digipas en code ontvangen, dan is er wel een serieus veiligheidsrisico."
Als de ASN mij verzekert dat ik mij geen zorgen hoef te maken dan wil ik daar zeker in mee gaan. Ik vind het echter wel opvallend dat ze hier geen veiligheidsrisico in zien. Ze markeren hun brieven ten slotte ook zonder merknaam en logo, en geven als eerste reactie op mijn mail ook aan dat "het niet goed is dat de postbode de digipas in de envelop kan zien.".
Wat denken jullie? Heb ik te veel Darknet Diaries (Luistertip!) geluisterd of vinden jullie dit een beveiligings-issue?
Ben benieuwd naar jullie mening.
Afgelopen week zijn mijn vriendin en ik overgestapt naar de ASN bank. Tot nu toe verloopt alles soepel, en met de overstapservice die elke bank aanbied heb je eigenlijk weinig redenen meer om te twijfelen. Echter loop ik tegen het onderstaande probleem aan:
De enveloppen waarin de ASN haar Digipas (authentificatie kastje) stuurt zijn ruim en bevatten een doorzichtig venster. Zonder veel moeite kan je hierdoor de digipas voor het venser schuiven en daardoor het persoonlijke serienummer van de Digipas zien. Dit is bij de bank gekoppeld aan mijn naam en adres die tevens op dezelfde brief staan. Het persoonlijke serienummer van de Digipas is nodig om in te loggen bij ASN Internetbankieren, naast een wachtwoord wat door het kastje gegenereerd wordt.
Hierbij een foto en een video ter verduidelijking:
:no_upscale():strip_icc():fill(white):strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=user_large "https://tweakers.net/i/ne6PCsU8pipWwMrMCN1Ac0478-k=/234x176/filters:strip_icc():strip_exif()/f/image/v2lr7rTq08XQSOsc4qqjnoaY.jpg?f=fotoalbum_medium")
"Ik heb bovenstaande gemeld als mogelijk beveiligingsprobleem bij de ASN met de vraag mij een nieuwe Digipas op te sturen in gesloten enveloppe. Helaas blijkt dit niet mogelijk, en reageert de ASN als volgt:
De ASN Digipas is inderdaad strikt persoonlijk, en wij doen er dan ook alles aan om te zorgen dat uitsluitend de digipashouder de pas kan gebruiken. Het feit dat het mogelijk is om de digipas in de envelop zo te verschuiven dat het serienummer leesbaar is, is geen ernstig veiligheidsrisico. Ik wil u daar twee redenen voor geven.
Ten eerste is het serienummer van de pas geen beveiligingscode. Je kunt het serienummer bij een betaling of een autorisatie niet zelf invullen. Bij het inloggen vult u het serienummer wel, maar vervolgens moet u de desbetreffende digipas in handen hebben om de responscode te berekenen. Met alleen het serienummer kun je niets.
Ten tweede kan alleen de postbode of een huisgenoot de pas in de envelop proberen te lezen. Als die persoon kwaad zou willen zal hij het niet bij het lezen van het serienummer houden - daar kan hij immers niets mee. Hij zal de envelop dan wellicht achterhouden en proberen de envelop met de initiële pincode te onderscheppen. Met die gegevens kan hij namelijk wel inloggen. Zou u dus geen enveloppen met de digipas en code ontvangen, dan is er wel een serieus veiligheidsrisico."
Als de ASN mij verzekert dat ik mij geen zorgen hoef te maken dan wil ik daar zeker in mee gaan. Ik vind het echter wel opvallend dat ze hier geen veiligheidsrisico in zien. Ze markeren hun brieven ten slotte ook zonder merknaam en logo, en geven als eerste reactie op mijn mail ook aan dat "het niet goed is dat de postbode de digipas in de envelop kan zien.".
Wat denken jullie? Heb ik te veel Darknet Diaries (Luistertip!) geluisterd of vinden jullie dit een beveiligings-issue?
Ben benieuwd naar jullie mening.
04-'13 oef tweakers
Reacties
Door
ToolBee,
vrijdag 1 mei 2020 15:38
Je bank heeft gelijk als ze bovenstaande beweren. Bij mijn bank ging het ook zo.
Wel meen ik me te herinneren dat de code een paar dagen vóór de identifier geleverd werd.
De venster-enveloppe doet mijn wenkbrauw wèl fonzen. Maar de eventueel leesbare dingen zijn waardeloos zonder de code.
Bij mijn bank, Triodos, kon ik zelfs zelf een pincode verzinnen.
Daarna is het helemaal dichtgetimmerd.
Denken in "als-dan-misschien" theorieën maakt je paranoïde.
Cheer up!
Wel meen ik me te herinneren dat de code een paar dagen vóór de identifier geleverd werd.
De venster-enveloppe doet mijn wenkbrauw wèl fonzen. Maar de eventueel leesbare dingen zijn waardeloos zonder de code.
Bij mijn bank, Triodos, kon ik zelfs zelf een pincode verzinnen.
Daarna is het helemaal dichtgetimmerd.
Denken in "als-dan-misschien" theorieën maakt je paranoïde.
Cheer up!
Door
Outfall,
vrijdag 1 mei 2020 15:48
Ze zeggen "met alleen het serienummer kan je niets", maar volgens mij kan iemand met dat nummer jou wel buitensluiten door een hoop foutieve inlogpogingen te doen. Waarom zou iemand dat doen? Dat doet er niet toe. Het kan, en daarmee is het serienummer dus gevoelige informatie. En die dient beschermd te worden.
Met de eerste zin van de tweede alinea wordt hun eerste punt ontkracht. Blijkbaar is het risico kleiner, omdat 'alleen de postbode of een huisgenoot' de pas proberen te lezen. Of ze bedoelen dat niet, en het risico blijft gelijk, maar dat geven ze met de tweede alinea dus geen 'tweede reden'.
Zelfs zonder veiligheidsrisico maakt zo'n losse identifier in een zak een beetje een onverzorgde, ondoordachte indruk.
Met de eerste zin van de tweede alinea wordt hun eerste punt ontkracht. Blijkbaar is het risico kleiner, omdat 'alleen de postbode of een huisgenoot' de pas proberen te lezen. Of ze bedoelen dat niet, en het risico blijft gelijk, maar dat geven ze met de tweede alinea dus geen 'tweede reden'.
Zelfs zonder veiligheidsrisico maakt zo'n losse identifier in een zak een beetje een onverzorgde, ondoordachte indruk.
Door
CurlyMo,
zaterdag 2 mei 2020 08:02
Ik vond de beveiliging van ASN ook tegenvallen en ben om die reden uiteindelijk bij Triodos beland. Zo vind ik het kunnen inloggen met alleen een gebruikersnaam en wachtwoord echt niet meer van deze tijd. Toen ik het probeerde (een jaar geleden) was het ook niet mogelijk om opdrachten van een gezamenlijke rekening, maar op mijn account aangemaakt, in te zien op her account van mijn partner. Dan heeft een gezamenlijke rekening ook weinig zin. Dingen die bij Triodos wel goed werken.
Door
MarcelGo,
zaterdag 2 mei 2020 10:48
Je kunt bij ASN nu ook instellen dat je alleen kunt inloggen met een qr code op de ASN app, dat is een stuk veiliger dan inlog en wachtwoord, wat betreft de serie nummers van de digipas zou ik me geen zorgen maken, je hebt het apparaat ook daadwerkelijk nodig.
Ik heb trouwens Triodos en ASN, en vindt ASN een stuk fijner werken, de identifier van Triodos ben ik geen fan van.
Ik heb trouwens Triodos en ASN, en vindt ASN een stuk fijner werken, de identifier van Triodos ben ik geen fan van.
Door
Blokker_1999,
zaterdag 2 mei 2020 11:30
Tenzij iemand de systemen van ASN, danwel van (ik dacht Vasco) te kraken om zo de private key te bemachtigen die bij het serienummer hoort ben je niet veel met het serienummer. Ja, dat nummer wordt gebruikt om jouw account te linken aan het juiste sleutelpaar, maar is alleen maar een verwijzing en niet de sleutel. Aanzie het een beetje als de serienummers die je kan zien van het certificaat waarmee een website https mogelijk maakt. Het is niet omdat dat serienummer zichtbaar is, dat daarmee de beveiliging wegvalt.
Daarnaast dien je zelf ook nog een PIN code in te stellen dewerlke ook server side geverifieerd wordt. Het is dan de combinatie van PIN + certificaat wat gebruikt gaat worden voor authenticatie. De kans op misbruik is daardoor eigenlijk onbestaande.
Daarnaast dien je zelf ook nog een PIN code in te stellen dewerlke ook server side geverifieerd wordt. Het is dan de combinatie van PIN + certificaat wat gebruikt gaat worden voor authenticatie. De kans op misbruik is daardoor eigenlijk onbestaande.
Door
CurlyMo,
zaterdag 2 mei 2020 12:38
@MarcelGo, volgens mij kan je inloggen met gebruikersnaam en wachtwoord niet uitzetten. Toen ik het voor het laatst probeerde in ieder geval niet. Ik heb alleen er alleen mijn beleggingen lopen.
Door
MarcelGo,
zondag 3 mei 2020 09:20
Ik heb een maand of 3 geleden de keuze gehad, en als je keuze gemaakt hebt blijft dat geldig, kan nu alleen maar met QR code inloggenCurlyMo schreef op zaterdag 2 mei 2020 @ 12:38:
@MarcelGo, volgens mij kan je inloggen met gebruikersnaam en wachtwoord niet uitzetten. Toen ik het voor het laatst probeerde in ieder geval niet. Ik heb alleen er alleen mijn beleggingen lopen.
Door
CurlyMo,
zondag 3 mei 2020 13:00
Dan ga ik ASN eens bellen morgen dat ik dat ook wilMarcelGo schreef op zondag 3 mei 2020 @ 09:20:
[...]
Ik heb een maand of 3 geleden de keuze gehad, en als je keuze gemaakt hebt blijft dat geldig, kan nu alleen maar met QR code inloggen
In de instellingen kan je het in ieder geval niet afdwingen.
Door
hoi1234,
zondag 3 mei 2020 19:04
De post kun je gewoon niet vertrouwen. Ik had 2 jaar terug een zomerbaandje bij een partner van SANND. Ik moest verklaren dat ik niet in aanraking ben geweest met de politie en verder niks. De post werd gewoon iedere maandag en donderdag bij mij thuisgebracht, zodat ik deze kon sorteren op postcode + huisnr. De post lag daar dus zeker een dag, soms zelfs langer als mijn werkgever te weinig personeel had en ik meerdere wijken moest doen.
Er zaten ook gewoon brieven (aanslagen) van de belastingdienst bij. Ook zat er post bij van diverse banken. Waarschijnlijk waren dat gewoon afschriften, want er zat wel een logo op. Maar dat heb ik uiteraard niet geverifieerd.
Als ik zie hoe sommige postbodes (ook van postNL en andere kleinere bedrijfjes) omgaan met de post, twijfel ik of er nooit wat gejat wordt. Ik heb meerdere keren tijdens mijn ronde fietsen onbeheerd zien staan. Het zal mij in ieder geval niet 100% zeker opvallen dat iemand aan de post heeft gezeten. En als je daar dan achter komt, weet je echt niet welke post er verdwenen is. Uiteindelijk kun je je fiets niet meenemen naar ieder huis. Dus er zijn altijd momenten dat je met de rug naar je fiets staat.
Er zaten ook gewoon brieven (aanslagen) van de belastingdienst bij. Ook zat er post bij van diverse banken. Waarschijnlijk waren dat gewoon afschriften, want er zat wel een logo op. Maar dat heb ik uiteraard niet geverifieerd.
Als ik zie hoe sommige postbodes (ook van postNL en andere kleinere bedrijfjes) omgaan met de post, twijfel ik of er nooit wat gejat wordt. Ik heb meerdere keren tijdens mijn ronde fietsen onbeheerd zien staan. Het zal mij in ieder geval niet 100% zeker opvallen dat iemand aan de post heeft gezeten. En als je daar dan achter komt, weet je echt niet welke post er verdwenen is. Uiteindelijk kun je je fiets niet meenemen naar ieder huis. Dus er zijn altijd momenten dat je met de rug naar je fiets staat.
Door
kazz1980,
maandag 4 mei 2020 16:14
Het klopt helemaal dat hier geen sprake is van een (noemensweaardig) beveiligingsrisico. Dat gezegd hebbende vind ik de keuze om het zo te verzenden wel erg opvallend. Nu heb ik toevallig zelf enkele maanden geleden bij de ASN bank een nieuwe rekening geopend en ik kreeg de digipas wel gewoon in een onherkenbare gesloten envelop. Dus: veiligheidsrisico? Nee. Maar slordig? Wat mij betreft wel!
Door
LOTG,
dinsdag 5 mei 2020 18:29
Ik meen dat mijn bank (Rabo) ook venster enveloppes gebruikt, maar daar zit de pas wel altijd vastgeplakt aan de begeleidende brief.
Ik vind het dan ook zak dat de bank het zo af doet. We doen er alles aan, maar dan iets simpels als er voor zorgen dat de pas niet met minimale effort leesbaar is kan dan toch weer niet verholpen worden.
Ik vind het dan ook zak dat de bank het zo af doet. We doen er alles aan, maar dan iets simpels als er voor zorgen dat de pas niet met minimale effort leesbaar is kan dan toch weer niet verholpen worden.
Door
Von Henkel,
dinsdag 5 mei 2020 20:26
Gelukkig hebben we bij de ING een 2-weg authenticatie.
Maar een moeilijk wachtwoord is NIET toegestaan
Hun software kan daar schijnbaar niet mee overweg.
De beveiliging is verder wel ok, maar ik blijf het een vreemde zaak vinden.
Maar een moeilijk wachtwoord is NIET toegestaan
Hun software kan daar schijnbaar niet mee overweg.
De beveiliging is verder wel ok, maar ik blijf het een vreemde zaak vinden.
Door
AutCha,
woensdag 6 mei 2020 10:48
Dat heeft degene die de envelop in handen heeft! Het is niet moeilijk om de code op de achterkant uit te lezen, dan de digipas om te draaien en de knoppen (en display) door het venster heen te gebruiken. Je digipas kan dus gebruikt worden zonder dat het fysiek aantoonbaar is."maar vervolgens moet u de desbetreffende digipas in handen hebben om de responscode te berekenen."
Door
kywr,
woensdag 6 mei 2020 12:40
Nee dat is niet het geval, voordat je een responscode krijgt moet je eerst een eigen gekozen wachtwoord invoeren op de digipas. Het initiële wachtwoord van de Digipas krijg je via de post, in een aparte brief. Het gaat mij dus meer om de slordig/veiligheid waarin het serienummer van de digipas niet persoonlijk wordt gehouden.AutCha schreef op woensdag 6 mei 2020 @ 10:48:
[...]
Dat heeft degene die de envelop in handen heeft!
Door
Blokker_1999,
woensdag 6 mei 2020 13:12
Maar het serienummer is voor niemand interessant. Daar kan je helemaal niets mee.kywr schreef op woensdag 6 mei 2020 @ 12:40:
[...]
Nee dat is niet het geval, voordat je een responscode krijgt moet je eerst een eigen gekozen wachtwoord invoeren op de digipas. Het initiële wachtwoord van de Digipas krijg je via de post, in een aparte brief. Het gaat mij dus meer om de slordig/veiligheid waarin het serienummer van de digipas niet persoonlijk wordt gehouden.
Door
kamerplant,
donderdag 7 mei 2020 22:20
Ik ben ergens juist wel verbaast van de serieuze reactie van de ASN. Vanuit m'n werk kom ik met regelmaat bij toeval een security issue aan (soms echt rampzalige grote gaten, soms minder groot). Ik krijg bedroevend weinig correcte reacties (=duidelijke en correcte uitleg waarom het risico aanvaardbaar is, of een oplossing). Een echt goede inhoudelijke reactie vind ik de prijzen.
Door
nullr0ute,
vrijdag 8 mei 2020 12:10
Het is wellicht niet direct een groot risico, maar een potentiele aanvaller heeft met het serienummer een gedeelte van de puzzel al in handen.
Als bank kan je niks aan het toeval overlaten. Als het onderdeel is van de inlogprocedure moet niemand het kunnen lezen. Hoe goed je de postbode ook vertrouwt.
Maar goed, wie ben ik?
Als bank kan je niks aan het toeval overlaten. Als het onderdeel is van de inlogprocedure moet niemand het kunnen lezen. Hoe goed je de postbode ook vertrouwt.
Maar goed, wie ben ik?
Reageren is niet meer mogelijk