Inloggen app met variabel aantal karakters en telefoon-toetsenbord

Tags:

jokro Auteur

Je ziet hier hoeveel reputatiepunten jokro heeft ontvangen van andere leden.

Hoekbank Reacties: 28
Allrounder

Allrounder

15 maart 2018, 22:10

Op verschillende plaatsen in het forum wordt gediscussieerd over de login code van 4 cijfers die door velen onveilig wordt gevonden. De discussie gaat vervolgens over hoeveel cijfers nodig zijn om (een gevoel van) meer veiligheid te creëren. Hierop is geen eenvoudig antwoord te geven, het hangt van meerdere factoren af zoals de omgeving waarin het apparaat gebruikt wordt en de manier waarop het apparaat wordt gebruikt. Wat ook een rol speelt is hoe gemakkelijk iemand de reeks van cijfers kan onthouden.

De volgende oplossing komt aan de meeste argumenten in de discussies tegemoet:
1. Laat het aan de gebruiker over hoeveel karakters hij wil toepassen, met een minimum van 4 en een maximum van bijvoorbeeld 20.
2. Gebruik een telefoon-toetsenbord (10 cijfers met bij elk cijfer 3 letters) zodat de gebruiker behalve cijfers ook (schijnbaar) letters kan invoeren en dus een makkelijk te onthouden woord of zin kan gebruiken.

Als KNAB vast blijft houden aan 4 cijfers, dan zou ik graag hebben dat de plaats van de cijfers op het toetsenbord steeds van positie wisselen, zodat het veel moeilijker is bij het intypen de cijfers af te leiden uit de positie waar de gebruiker op het scherm tikt.
  • David

    Je ziet hier hoeveel reputatiepunten David heeft ontvangen van andere leden.

    Community Back-up Reacties: 542
    Allrounder

    Allrounder

    Expert

    Expert

    26 maart 2018, 09:10

    Hoi Jokro, ik wilde je even laten weten dat wij je niet vergeten zijn maar dat dit nog uit staat bij een van onze collega's.

    Groet, David
    Community Back-up
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    2 mei 2018, 11:04

    jokro schreef:

    Op verschillende plaatsen in het forum wordt gediscussieerd over de login code van 4 cijfers die door velen onveilig wordt gevonden. De discussie gaat vervolgens over hoeveel cijfers nodig zijn om (een gevoel van) meer veiligheid te creëren. Hierop is geen eenvoudig antwoord te geven, het hangt van meerdere factoren af zoals de omgeving waarin het apparaat gebruikt wordt en de manier waarop het apparaat wordt gebruikt. Wat ook een rol speelt is hoe gemakkelijk iemand de reeks van cijfers kan onthouden.

    De volgende oplossing komt aan de meeste argumenten in de discussies tegemoet:
    1. Laat het aan de gebruiker over hoeveel karakters hij wil toepassen, met een minimum van 4 en een maximum van bijvoorbeeld 20.
    2. Gebruik een telefoon-toetsenbord (10 cijfers met bij elk cijfer 3 letters) zodat de gebruiker behalve cijfers ook (schijnbaar) letters kan invoeren en dus een makkelijk te onthouden woord of zin kan gebruiken.

    Als KNAB vast blijft houden aan 4 cijfers, dan zou ik graag hebben dat de plaats van de cijfers op het toetsenbord steeds van positie wisselen, zodat het veel moeilijker is bij het intypen de cijfers af te leiden uit de positie waar de gebruiker op het scherm tikt.



    Hi Jokro, ik heb een antwoord op je vraag vanuit onze collega's die hierover gaan.

    Appels en peren
    Het gebruik van een 4 cijferige pincode klinkt, als je het vergelijkt met een "traditioneel" wachtwoord, onveilig. Maar niets is minder waar, er is namelijk een groot verschil tussen de manier van inloggen in de app met een pincode en bijvoorbeeld het inloggen op de Knab website. Het verschil zit hem in het feit dat wanneer je wilt inloggen op de website een wachtwoord en gebruikersnaam nodigt hebt. Heb je het wachtwoord en gebruikersnaam afgekeken dan kan je direct inloggen op elke willekeurige plaats. Dit kan met de pincode van de app of een pinpas niet, waarom? Omdat je de pinpas of de specifieke installatie van de app ook nodig hebt. Heb jij de pincode afgekeken van de app, dan heb je daar alleen iets aan als je ook toegang hebt tot de telefoon en de specifieke app installatie.

    In de security noemen wij het wachtwoord en de gebruikersnaam een "need-to-know". De specifieke installatie van de app en de pinpas noemen we een "need-to-have". Voor het inloggen op de Knab website heb je dus twee need-to-know's nodig, namelijk je wachtwoord en gebruikersnaam. Voor het inloggen in de app heb je één need-to-know, je pincode en één need-to-have, de specifieke app installatie nodig.

    In het geval van een login-systeem waarbij enkel gebruik wordt gemaakt van need-to-know's (zoals de Knab website) is het van belang dat minstens één need-to-know heel lastig af te kijken of te raden is. Bij een login-systeem waarbij ook gebruik gemaakt wordt van need-to-have's is dit van minder belang omdat het kennen van de need-to-know's niet genoeg is om in te kunnen loggen.

    Conclusie: Het vergelijken van de 4 cijferige pincode in de app met een traditioneel wachtwoord is dus eigenlijk het vergelijken van appels met peren. Ga jij goed om met je 4 cijferige pincode en hou jij de need-to-have (telefoon) privé, dan is het gebruik van een 4 cijferige pincode helemaal veilig.

    Tips
    Wil je nou nog veiliger bankieren op je telefoon?
    • Zorg dat je telefoon en de data op je telefoon veilig is, maak gebruik van een pincode of een andere beveiligingsmiddel. Je telefoon bevat namelijk veel meer zaken die je veilig wil houden, niet alleen de Knab app. Denk bijvoorbeeld aan wachtwoorden opgeslagen in je browser, je Facebook of Twitter account waar je zonder pincode bij kan etc.
    • Gebruik een andere pincode voor de app en voor je pinpas.
    Webcare Moderator bij Knab
  • jokro Auteur

    Je ziet hier hoeveel reputatiepunten jokro heeft ontvangen van andere leden.

    Hoekbank Reacties: 28
    Allrounder

    Allrounder

    2 mei 2018, 22:33

    Dank voor de uitgebreide reaktie. Bij een computer of telefoon die je uitsluitend thuis of in een vertrouwde omgeving gebruikt kan deze werken. Echter, een telefoon gebruik je niet alleen thuis maar je neemt hem mee uit huis en voor een zakkenroller is het een koud kunstje om je in de lift, de op de markt of in een winkel af te leiden en je telefoon ongemerkt afhandig te maken. Het principedat de tefoon als need-to-have bijdraagt aan de veiligheid gaat in dit geval niet op. Op dat moment is de pincode je enige bescherming tegen het leegroven van je bankrekening. Het is om deze reden dat ik bij een telefoon de gemakkelijk-van-een afstand-afleesbare, viercijferige pincode niet veilig vind. Zoals eerder aangegeven zou het aflezen van de pincode op twee manieren kunnen worden bemoeilijkt. De eerste is door de cijfers van het toetsenbord waarop je de pincode invoert steeds een andere positie te geven. De andere is door het aantal karakters te vergroten. Het alternatief is een veiliger need-to-have toe te passen, zoals een iris-profiel of een vingerafdrukprofiel. Niet iedere telefoon heeft mogelijkheden om deze profielen te scannen. Tot die tijd zou een combinatie van de door mij aangegeven mogelijkheden de veiligheid kunnen vergroten. En daarnaast is door mij aangegeven gebruik van Bitdefender een tip.
  • PamPam

    Je ziet hier hoeveel reputatiepunten Pam heeft ontvangen van andere leden.

    Moderator Reacties: 1081
    Allrounder

    Allrounder

    Expert

    Expert

    Lezer

    Lezer

    7 mei 2018, 14:19

    jokro schreef:

    Dank voor de uitgebreide reaktie. Bij een computer of telefoon die je uitsluitend thuis of in een vertrouwde omgeving gebruikt kan deze werken. Echter, een telefoon gebruik je niet alleen thuis maar je neemt hem mee uit huis en voor een zakkenroller is het een koud kunstje om je in de lift, de op de markt of in een winkel af te leiden en je telefoon ongemerkt afhandig te maken. Het principedat de tefoon als need-to-have bijdraagt aan de veiligheid gaat in dit geval niet op. Op dat moment is de pincode je enige bescherming tegen het leegroven van je bankrekening. Het is om deze reden dat ik bij een telefoon de gemakkelijk-van-een afstand-afleesbare, viercijferige pincode niet veilig vind. Zoals eerder aangegeven zou het aflezen van de pincode op twee manieren kunnen worden bemoeilijkt. De eerste is door de cijfers van het toetsenbord waarop je de pincode invoert steeds een andere positie te geven. De andere is door het aantal karakters te vergroten. Het alternatief is een veiliger need-to-have toe te passen, zoals een iris-profiel of een vingerafdrukprofiel. Niet iedere telefoon heeft mogelijkheden om deze profielen te scannen. Tot die tijd zou een combinatie van de door mij aangegeven mogelijkheden de veiligheid kunnen vergroten. En daarnaast is door mij aangegeven gebruik van Bitdefender een tip.



    Hi Jokro,

    Dank voor je reactie. Wij zijn van mening dat de huidige lengte van de pincode geen extra risico's met zich mee brengt. Uiteraard is het van belang dat een klant zijn telefoon als dusdanig privé hanteert. Het delen van een telefoon of het gebruiken van een telefoon zonder schermvergrendeling raden wij dan ook af. Wij zijn continue bezig met het monitoren van mogelijke risico's en blijven dat ook doen. Dank in ieder geval voor je input hierover :)

    Groeten, Pam
    Webcare Moderator bij Knab

Reageren

Bezig met uploaden:
0%
Bladeren
Als de URL correct is, zal hier een voorbeeld verschijnen. Grote afbeeldingen duren soms iets langer voordat deze geladen zijn.
  • :D
  • :?
  • :cool:
  • :S
  • :(
  • :@
  • :$
  • :8
  • :)
  • :P
  • ;)
Bekijk mobiele versie