|
Secretaris-Generaal VN
Geregistreerd: 26 augustus 2004
Berichten: 47.769
|
Citaat:
|
Oorspronkelijk geplaatst door woffer
Ik ben ff gaan kijken op de website van ING e-banking en het is zoals verwacht een systeem met een zogenaamde digipass. Ik zal het systeem even kort uitleggen:
Elke klant krijgt bij de activatie van z'n e-banking een digipass. Dit is een soort rekenmachientje met een ingebouwd algoritme. Elk digipass-je heeft een eigen, uniek, ingebouwd algoritme dat enkel de bank kent. De bank houdt een database bij waarbij elke klant gekoppeld is aan zijn eigen digipasje, en dus ook zijn eigen algoritme.
Het online aanmelden gebeurt als volgt:
Op de inlogpagina verschijnt elke keer een andere code, laten we het code A noemen. Deze code A geeft de klant in in zijn digipasje, dat wordt verwerkt door het ingebouwde algoritme, waardoor een nieuwe code, code B, op het schermpje van het digipasje verschijnt. Deze code B geeft de klant in op de website, samen met zijn gebruikersnaam. De bank zoekt de gebruiker in de database op en kent zo het gebruikte algoritme van de klant zijn digipasje. De bank verwerkt op zijn beurt de code A met het algoritme van de gebruiker en vergelijkt de uitkomst met de door de gebruiker ingegeven code B.
Dit systeem heeft twee grote voordelen:
1) De gebruiker gebruikt nooit hetzelfde paswoord. De code B die de klant ingeeft kan maar 1 keer gebruikt worden en dit enkel in combinatie van de code A die door de bank gegeven wordt. Dit maakt dat het afluisteren van de verbinding (wat zoals Daiwa aangetoond heeft erg simpel is) volledig nutteloos maakt.
2) De algoritmes worden niet zomaar gekozen: bij simpele algoritmes is het immers mogelijk het algoritme af te leiden uit de vergelijking van een aantal codes A met hun bijhorende code B. Een hacker zou dus simpelweg het kanaal gedurende een tijdje kunnen afluisteren, enkele codes A en hun bijhorende code B opslaan en zo het algoritme achetrhalen. Maar de algoritmes worden nu eenmaal zo gekozen dat zelfs al heb je een miljoen codes A met hun bijhorende code B, het algoritme onmogelijk kan achterhaald worden (principe van de onomkeerbare bewerking, één van de hoofdprincipes van bewijsbare veiligheid).
Het hacken kan dus enkel gebeuren door het fysiek stelen van het digipasje, maar dat is net hetzelfde voor de sleutel van je kluis....
|
Zoals u het hier beschrijft is hacken vrijwel uitgesloten.
Maar ik meen gelezen te hebben dat het tussen zakenpartners ging en daar zal volgens mij wel de zwakte van de beveiliging liggen.[edit]
[size=1] Edit:[/size] [size=1]After edit by daiwa on 13-08-2005 at 23:59
Reason:
--------------------------------
Citaat:
|
Oorspronkelijk geplaatst door woffer
Ik ben ff gaan kijken op de website van ING e-banking en het is zoals verwacht een systeem met een zogenaamde digipass. Ik zal het systeem even kort uitleggen:
Elke klant krijgt bij de activatie van z'n e-banking een digipass. Dit is een soort rekenmachientje met een ingebouwd algoritme. Elk digipass-je heeft een eigen, uniek, ingebouwd algoritme dat enkel de bank kent. De bank houdt een database bij waarbij elke klant gekoppeld is aan zijn eigen digipasje, en dus ook zijn eigen algoritme.
Het online aanmelden gebeurt als volgt:
Op de inlogpagina verschijnt elke keer een andere code, laten we het code A noemen. Deze code A geeft de klant in in zijn digipasje, dat wordt verwerkt door het ingebouwde algoritme, waardoor een nieuwe code, code B, op het schermpje van het digipasje verschijnt. Deze code B geeft de klant in op de website, samen met zijn gebruikersnaam. De bank zoekt de gebruiker in de database op en kent zo het gebruikte algoritme van de klant zijn digipasje. De bank verwerkt op zijn beurt de code A met het algoritme van de gebruiker en vergelijkt de uitkomst met de door de gebruiker ingegeven code B.
Dit systeem heeft twee grote voordelen:
1) De gebruiker gebruikt nooit hetzelfde paswoord. De code B die de klant ingeeft kan maar 1 keer gebruikt worden en dit enkel in combinatie van de code A die door de bank gegeven wordt. Dit maakt dat het afluisteren van de verbinding (wat zoals Daiwa aangetoond heeft erg simpel is) volledig nutteloos maakt.
2) De algoritmes worden niet zomaar gekozen: bij simpele algoritmes is het immers mogelijk het algoritme af te leiden uit de vergelijking van een aantal codes A met hun bijhorende code B. Een hacker zou dus simpelweg het kanaal gedurende een tijdje kunnen afluisteren, enkele codes A en hun bijhorende code B opslaan en zo het algoritme achetrhalen. Maar de algoritmes worden nu eenmaal zo gekozen dat zelfs al heb je een miljoen codes A met hun bijhorende code B, het algoritme onmogelijk kan achterhaald worden (principe van de onomkeerbare bewerking, één van de hoofdprincipes van bewijsbare veiligheid).
Het hacken kan dus enkel gebeuren door het fysiek stelen van het digipasje, maar dat is net hetzelfde voor de sleutel van je kluis....
|
Zoals u het hier beschrijft is hacken vrijwel uitgesloten.
Maar ik meen gelezen te hebben dat het tussen zakenpartners ging en daar zal volgens mij wel de zwakte van de beveiliging liggen.[/size] |
[size=1]Before any edits, post was:
--------------------------------
Citaat:
|
Oorspronkelijk geplaatst door woffer
Ik ben ff gaan kijken op de website van ING e-banking en het is zoals verwacht een systeem met een zogenaamde digipass. Ik zal het systeem even kort uitleggen:
Elke klant krijgt bij de activatie van z'n e-banking een digipass. Dit is een soort rekenmachientje met een ingebouwd algoritme. Elk digipass-je heeft een eigen, uniek, ingebouwd algoritme dat enkel de bank kent. De bank houdt een database bij waarbij elke klant gekoppeld is aan zijn eigen digipasje, en dus ook zijn eigen algoritme.
Het online aanmelden gebeurt als volgt:
Op de inlogpagina verschijnt elke keer een andere code, laten we het code A noemen. Deze code A geeft de klant in in zijn digipasje, dat wordt verwerkt door het ingebouwde algoritme, waardoor een nieuwe code, code B, op het schermpje van het digipasje verschijnt. Deze code B geeft de klant in op de website, samen met zijn gebruikersnaam. De bank zoekt de gebruiker in de database op en kent zo het gebruikte algoritme van de klant zijn digipasje. De bank verwerkt op zijn beurt de code A met het algoritme van de gebruiker en vergelijkt de uitkomst met de door de gebruiker ingegeven code B.
Dit systeem heeft twee grote voordelen:
1) De gebruiker gebruikt nooit hetzelfde paswoord. De code B die de klant ingeeft kan maar 1 keer gebruikt worden en dit enkel in combinatie van de code A die door de bank gegeven wordt. Dit maakt dat het afluisteren van de verbinding (wat zoals Daiwa aangetoond heeft erg simpel is) volledig nutteloos maakt.
2) De algoritmes worden niet zomaar gekozen: bij simpele algoritmes is het immers mogelijk het algoritme af te leiden uit de vergelijking van een aantal codes A met hun bijhorende code B. Een hacker zou dus simpelweg het kanaal gedurende een tijdje kunnen afluisteren, enkele codes A en hun bijhorende code B opslaan en zo het algoritme achetrhalen. Maar de algoritmes worden nu eenmaal zo gekozen dat zelfs al heb je een miljoen codes A met hun bijhorende code B, het algoritme onmogelijk kan achterhaald worden (principe van de onomkeerbare bewerking, één van de hoofdprincipes van bewijsbare veiligheid).
Het hacken kan dus enkel gebeuren door het fysiek stelen van het digipasje, maar dat is net hetzelfde voor de sleutel van je kluis....
|
Zoals u het hier beschrijft is hacken vrijwel uitgesloten.
Maar ik meen gelezen te hebben dat het tussen mede-venoten ging en daar zal volgens mij wel de zwakte van de beveiliging liggen.[/size] |
[/edit]
Laatst gewijzigd door daiwa : 13 augustus 2005 om 22:59.
|
13 augustus 2005, 10:53
