Vraag

Hoe wordt er gedacht over 2-factor authenticatie?

  • 12 augustus 2016
  • 26 reacties
  • 2433 Bekeken

Wat ik eigenlijk nog mis is 2-factor authenticatie op de site. Nu is het zonder de reader (zover ik weet) niet mogelijk om geld over te boeken, maar ik vind het geen prettig idee dat alleen een username en password nodig zijn om de bankrekeningen te kunnen inzien. Staat 2-factor dit op de implementatie roadmap?

26 reacties

Reputatie 6
Badge +2
@Viyendra,

Bedankt voor je feedback en je uitleg. Op dit moment maken we bij Knab inderdaad geen gebruik van 2-factor authenticatie bij het inloggen. 2-factor authenticatie gebruiken wij wel bij het doen van een overboeking of het bevestigen van een opdracht, namelijk met de Cardreader.

Vanuit PSD2, zal er straks waarschijnlijk met 2-factor ingelogd moeten worden. We zullen hier dus een alternatief op vinden, zeker omdat wij ook bezig zijn met de Cardreader te vervangen voor 'Mobiel Signeren'. Omdat PSD2 nog even duurt, heb ik nog geen concrete plannen die ik kan vrijgeven.

Groet, Pam
Reputatie 5
Badge +1
Hoi Wallace78,

Bedankt voor je input. :)

Mijn voorkeur gaat erg uit naar SMS-verificatie omdat dit random cijfers betreft en als het ware een los systeem vormt buiten een app of een website om.
Ik heb nog geen idee hoe dit er uit gaat zien. Dit is écht nog een lopend project, misschien wordt het een SMS...misschien wordt het iets anders nieuws.

Ik zit overigens een beetje te denken over jouw opmerking mbt het overboeken via de app. Het klopt inderdaad dat er een pincode ingetoetst moet worden, maar ik zou graag als suggestie aan willen dragen dat betalen via de app alleen geactiveerd en gedeactiveerd kan worden met de pasreader. Dit lijkt mij, voor een tamelijk belangrijke wijziging wel een goede zaak.
Wat ik eigenlijk bedoelde te zeggen is dat de Cardreader vervangen kan worden door de app wanneer je een overboeking doet via de Persoonlijke Bankomgeving.
Overboeken via de Knab app staat standaard aan na het koppelen. Er zitten wel beperkingen op, zo kun je maximaal €2.500,- via de app betalen. Dit is een spanningsveld tussen gemak en veiligheid. We hebben hier ook heel goed naar gekeken wat wijsheid is. We passen dit natuurlijk aan als de omstandigheden daar om vragen (zowel richting flexibeler als naar strenger). We gaan daar heel bewust mee om.

Er zitten trouwens heel wat instellingen achter de inlog op het internet. Ook het deactiveren van de rekening zie ik daaronder staan. Ik weet nu niet precies wat er gebeurt wanneer ik daarop klik bijv., maar ik ga er even vanuit dat daar de pasreader voor nodig is. Klopt dat wat ik nu zeg David..? Hierbij geldt de vraag ook voor eventueel andere belangrijke instellingen die je via het internet op www.knab.nl zou willen doen. Ik hoor dit dan ook graag. Het lijkt mij niet echt logisch dat met een wachtwoord en een gebruikersnaam alles (zomaar) kan worden aangepast. Maar ok..ik wacht het antwoord even af.
Sommige wijzigingen vereisen het gebruik van de Knab Bankpas in combinatie met de Cardreader om de wijziging te bekrachtigen. Een voorbeeld hiervan is het wijzigen van je adres. Dit moet je zelf doen via de Persoonlijke Bankomgeving, maar je hebt hier wel je bankpas en Cardreader nodig om het te bevestigen.

Het blokkeren van de bankpas kan zowel in de app als in de Persoonlijke Bankomgeving en is juist specifiek iets waar geen 2de stap voor nodig is. De digitale handtekening (2de stap) is juist hiervoor niet nodig omdat dit een noodgreep is waar iemand direct bij moet kunnen in geval van verlies of diefstal. Het blokkeren van de rekening zelf kan niet zonder tussenkomst van onze Servicedesk. Dit kan alleen door contact met ons op te nemen; we moeten de persoon kunnen identificeren voor deze handeling. Over elke handeling is bewust nagedacht of hier wel of geen bevestiging (2de stap) voor nodig is en wordt ook continue tegen het licht gehouden door onze security mensen.

Groet, David
Reputatie 5
Badge +1
Hoi Michael,

Is er al nieuws op dit punt?
2FA vind ik inmiddels wel een must voor dit soort websites. Liefst ook ondersteuning voor gebruik icm een Yubikey.


Er wordt nog gewerkt aan samenvoegingen van de verschillende inlogs en alles wat daarbij hoort. We hebben inmiddels wel inloggen door middel van QR code geïntroduceerd waarbij je telefoontoestel dient als inlogsleutel.

Groet, David
Reputatie 2
U2F mag dan wel een open standaard zijn, maar volgens mij wordt dit maar zeer weinig in de pratijk toegepast. Google Authenticator is breder ondersteund.

2-factor authentication is inderdaad een must zodra er betaald kan worden zonder Reader.....
Momenteel kan je inloggen op de persoonlijke bankomgeving met je gebruikersnaam en wachtwoord. Graag zou ik de optie willen zien dat je 2 staps authenticatie kan aanzetten. Dit zie je al bij heel veel andere diensten geïmplementeerd worden, of het is er al.

Zo kan je als gebruiker er zelf voor kiezen of je een extra stukje beveiliging wilt toepassen, denk bijvoorbeeld aan een code die je via SMS kan ontvangen en dus extra moet invoeren voordat je kan inloggen.

Mocht een kwaadwillende op een of andere manier je wachtwoord hebben, dan kan hij evengoed niet je account in omdat de betreffende de SMS code niet heeft.
Reputatie 1
Duidelijk verhaal David..bedankt voor je uitleg. We gaan het afwachten.

Hallo,

Wat zijn precies de plannen met de reader? Is het de bedoeling dat deze verdwijnt? Ik zou het het mooist vinden als de reader in geen enkel scenario meer nodig is. Het is echt zo’n dingetje die je bijvoorbeeld vergeet op vakantie en dan moet je geen gedoe met de app krijgen, waardoor je er niet meer inkomt.

De app koppelen met bijvoorbeeld met een code die je via de website moet aanvragen lijkt me prettiger.

In het kort: inloggen op de website (met een sms code voor de 2fa veiligheid), dan ergens klikken op app koppelen, dan krijg je een sms met code, die vul je in, waarna je een code krijgt die je weer in de app moet invullen.

Misschien ook zoals de meeste grote diensten de app beveiligen met 5 of zelfs 6 cijfers ipv 4? Is toch een flink aantal combinatiemogelijkheden meer. Maar dit is meer een gevoel hoor. Misschien is het onzin en is 4 cijfers inderdaad gewoon voldoende.

Reputatie 3
Badge

2FA via SMS is helemaal niet veilig, is juist makkelijk misbruik van te maken. 

Is inderdaad mogelijk,  maar ik bedoel ook alleen om de eerste keer de app te kunnen koppelen. Een andere mogelijkheid is natuurlijk ook prima, maar ik bedoel meer een mogelijkheid zonder dat je een reader nodig hebt. Maar inderdaad, als ik bij een dienst kan kiezen tussen sms of een authenticator app, kies ik niet voor sms.

Reputatie 1
Badge

Bovendien - niet iedereen wil alleen per mobiel app kunnen bankieren. Er moet altijd nog een andere optie zijn.

Is ook heel beroerd, indien je mobieltje kapot gaat etc. Dan moet je wachten totdat je een nieuwe gekocht hebt. Niet iedereen is een smombie (=smartphone zombie).

Beste @pulse ,

Bedankt voor je reactie. Graag reageer ik hierop.

Op termijn willen we inderdaad van de Cardreader af. We doen dit stapsgewijs.
Leuk om te lezen dat je zelf ook al ideeën hebt over hoe de Knab app zonder Cardreader gekoppeld kan worden. Sinds 5 maart kan je via iProov de Knab app koppelen aan je rekening met behulp van je identiteitskaart of paspoort. Hier heb je dus geen Cardreader meer voor nodig!

Ik hoop je hiermee voldoende te hebben geïnformeerd!

Met vriendelijke groeten,

Stefanie

Reputatie 6
Badge +2
Waarom is het niet mogelijk bij het inloggen op de website MFA aan te zetten? Dit via de APP of SMS bevestiging.
Staat dit in de planning?


Hi! Ik heb je berichtje naar dit huidige topic verplaatst. Je kunt de status van deze suggestie in de gaten houden via Status Suggesties Betalen, Sparen, Beleggen.
Reputatie 6
Badge +2
Momenteel kan je inloggen op de persoonlijke bankomgeving met je gebruikersnaam en wachtwoord. Graag zou ik de optie willen zien dat je 2 staps authenticatie kan aanzetten. Dit zie je al bij heel veel andere diensten geïmplementeerd worden, of het is er al.

Zo kan je als gebruiker er zelf voor kiezen of je een extra stukje beveiliging wilt toepassen, denk bijvoorbeeld aan een code die je via SMS kan ontvangen en dus extra moet invoeren voordat je kan inloggen.

Mocht een kwaadwillende op een of andere manier je wachtwoord hebben, dan kan hij evengoed niet je account in omdat de betreffende de SMS code niet heeft.


Hi iJasper,

Dank voor je bericht. Ik heb je berichtje verplaatst naar dit bestaande topic op de community. Hier wordt al eerder antwoord gegeven. :)

Groet, Pam
Is er al nieuws op dit punt?
2FA vind ik inmiddels wel een must voor dit soort websites. Liefst ook ondersteuning voor gebruik icm een Yubikey.
Reputatie 1
Badge
Dat zou een goede idee zijn, dan graag een open standaard gebruiken, bijvoorbeeld:
https://en.wikipedia.org/wiki/Universal_2nd_Factor

In feite gebruikt knab nu al 2FA - een propriëtaire - de card reader met de bankpas. Dat is niks anders, maar natuurlijk omslachtig, om het ook voor login te gebruiken, zoals andere banken dat wel doen. Een optie, bij die de user instellen kan, of hij de bankpas/reader ook voor login wil gebruiken, zou een korte termijn oplossing zijn. Op lange zicht zie ik liever een open standaard oplossing.
Reputatie 5
Badge +1
Hoi Ckoeter,

Je comment heb ik verplaatst naar een al bestaand topic. Hier vindt je meer informatie terug van eerdere gesprekken.
Wat me opvalt is dat het onmogelijk is dubbele verificatie in te stellen zoals bij PayPal bijvoorbeeld wel kan...Komt dit of wordt hier aan gewerkt? (Vind dit wel serieus)

Op dit moment werkt Knab aan de vernieuwing van de inlogmethoden. We hebben nu verschillende onderdelen (bank, verzekeren, crowdfunding, hypotheken) die allemaal een eigen inlog kennen en dit willen we graag samenvoegen. Hier komt ook een nieuw wachtwoordbeleid waar, zoals ik het heb begrepen, 2 staps verificatie ook een onderdeel van wordt. Ik verwacht dat we dit met ongeveer een half jaar uit kunnen rollen, die doelstelling is naar ons uitgesproken.

Het is het misschien wel geruststellend om te melden dat voor overboekingen er in feite al een 2 staps verificatie is op de website door het gebruik van de bankpas en Cardreader of het gebruik van de app. :)

Groet, David
Reputatie 5
Badge +1
Hoi dvmierlo,

Als ik inlog via een browser, computer of mobiel, dan is alleen mijn gebruikersnaam en wachtwoord nodig. Wanneer ik de Knab app installeer op mijn mobiel, dan moet ik naar mijn gebruikersnaam en wachtwoord ook een code invoeren met mijn pas en reader. Dit is totaal niet logisch. 2FA tijdens het inloggen, op welke manier dan ook, is het minste wat ik verwacht bij een bank.

Ik begrijp de verwarring, banken doen het allemaal net even anders. Ik hoop dat ik wat duidelijkheid kan geven.

Inloggen op de Persoonlijke Bankomgeving
Wanneer je bij Knab inlogt op je Persoonlijke Bankomgeving, dan heb je enkel je gebruikersnaam en je wachtwoord nodig. Na het inloggen kun je saldi informatie opvragen en eventueel tussen je eigen rekeningen bedragen schuiven. Wanneer je een overboeking doet, of iets moet "ondertekenen" of wijzigen komt de 2-staps verificatie om de hoek kijken. Op dat moment gebruik je de bankpas en Cardreader als extra bevestiging. In feite is dat je 2de stap; de bankpas + Cardreader genereren de code die je identiteit bevestigen. Hierin is gezocht naar een balans tussen gemak en veiligheid, en daar zijn wij toen uitgekomen op deze manier van inloggen en bevestigen.

Inloggen en koppelen van de Knab app
Wanneer je gebruik maakt van de Knab app log je in met een zelfgekozen 5-cijferige PIN. Voordat je dat kunt doen moet je eerst de app koppelen aan je Knab rekening en de app autoriseren. Dat koppelen en autoriseren gebeurt door in te loggen met je inloggegevens en vervolgens je identiteit te bevestigen met je bankpas en Cardreader. Als de koppeling eenmaal bestaat is de noodzaak voor de 2de stap er niet meer en wordt om het makkelijker te maken je gebruikersnaam-wachtwoordcombinatie vervangen voor de 5-cijferige PIN of vingerafdruk.

De reden waarom er dus bij koppeling van de app wordt gevraagd om de 2de stap heeft alleen te maken met het autoriseren van de app. Transacties zijn met de pincode te bevestigen of met de vingerafdruk. Het is wel zo dat vanaf een bepaald bedrag ook in de app gevraagd zal worden om de bevestiging met je bankpas en Cardreader. Ook dit gaat om een spanningsveld tussen gemak en veiligheid.

Inloggen in de toekomst
Er wordt binnen Knab gewerkt aan een revisie van het inlogsysteem. Hoe dit er uit gaat zien, welke opties daar bij komen en hoe de rol van de 2-staps verificatie is ingericht hebben ze nog niet bekend gemaakt. Zelf verwacht ik dat 2-staps een belangrijkere rol gaat spelen, maar dat dit mogelijk weer anders zal zijn dan wat we nu gewend zijn. Ook hier wordt gezocht naar een goede balans tussen gemak en veiligheid. Het lijkt er op dat het iets langer gaat duren voordat dit nieuwe systeem er is; ik had het eind 3de kwartaal van 2018 verwacht. Dit wordt zoals het er nu uit ziet later omdat we ook een manier zoeken om het inloggen voor bank, verzekeren, hypotheken en crowdfunding uniform te maken en dit zeer complex blijkt met alle vereisten en verschillende veiligheidssystemen die er gebruikt worden.

Groet, David
Reputatie 4
Badge
@DVMIERLO. Dan gaat er iets niet goed met het koppelen van je mobiel met je account. Als je mobiel eenmaal gekoppeld is kun je of met een vingerscan of zelf gekozen toegangscode eenvoudig inloggen.
Reputatie 4
Badge
@DVMIERLO. Dan gaat er iets niet goed met het koppelen van je mobiel met je account. Als je mobiel eenmaal gekoppeld is kun je of met een vingerscan of zelf gekozen toegangscode eenvoudig inloggen.

@TONK44: Waarom het om gaat is dat dit koppelen van de app met je mobiel vereist dat je jezelf, naast je gebruikersnaam en wachtwoord, ook authenticeert met je pas+reader. Dit is 2FA.
Reputatie 4
Badge
@DVMIERLO. Dan gaat er iets niet goed met het koppelen van je mobiel met je account. Als je mobiel eenmaal gekoppeld is kun je of met een vingerscan of zelf gekozen toegangscode eenvoudig inloggen.

@TONK44: Waarom het om gaat is dat dit koppelen van de app met je mobiel vereist dat je jezelf, naast je gebruikersnaam en wachtwoord, ook authenticeert met je pas+reader. Dit is 2FA.


Dan heb ik je opmerking niet goed begrepen.
Het is voor mij ook storend dat er bij het inloggen nog geen gebruik gemaakt wordt van 2-factor authenticatie, maar alleen met een gebruikersnaam en wachtwoord. Met het wachtwoord beleid kan ik mij voorstellen dat men dit op den duur beu is en ook maar voor simpele wachtwoorden kiest. Daarover wordt al gesproken in het topic: https://community.knab.nl/ideeenbus-20/wachtwoordbeleid-220.
Er zijn van verschillende ontwikkelaars/aanbieders 2-factor authenticatie apps (zoals Authy, etc), maar een mooi idee is als er een authenticator in de Knab App wordt gebouwd voor het inloggen op de site.
Waarom is het niet mogelijk bij het inloggen op de website MFA aan te zetten? Dit via de APP of SMS bevestiging.
Staat dit in de planning?
Momenteel een maand lid van knab. Fijn overzichtelijk en het proberen waard. Wat me opvalt is dat het onmogelijk is dubbele verificatie in te stellen zoals bij PayPal bijvoorbeeld wel kan. De app is prima, telefoon zit toch in mijn broekzak, registreren dmv de cardreader en weet wanneer mijn mobiel kwijt is dus heb ik zicht op. Maar een internetbrowser (willekeurig welke ook ter wereld) beveiligen met gebruikersnaam en wachtwoord vind ik niet voldoende. Het zou mooi zijn als je dan een sms (/google authenticator) krijgt met een code die je binnen 5 minuten moet invullen op die inlogpagina om door te komen en je bankzaken en instellingen te kunnen zien en wijzigen. Lees meer op: https://www.google.nl/search?q=Dubbele+verificatie&oq=Dubbele+verificatie&aqs=chrome..69i57.550j0j7&sourceid=chrome&ie=UTF-8

Komt dit of wordt hier aan gewerkt? (Vind dit wel serieus)
Reputatie 1
Hallo David,

Fijn dat jullie serieus overwegen om 2-staps verificatie in te voeren voor een totale login van de delen van de website. Mijn voorkeur gaat erg uit naar SMS-verificatie omdat dit random cijfers betreft en als het ware een los systeem vormt buiten een app of een website om. Ik zit overigens een beetje te denken over jouw opmerking mbt het overboeken via de app. Het klopt inderdaad dat er een pincode ingetoetst moet worden, maar ik zou graag als suggestie aan willen dragen dat betalen via de app alleen geactiveerd en gedeactiveerd kan worden met de pasreader. Dit lijkt mij, voor een tamelijk belangrijke wijziging wel een goede zaak.

Er zitten trouwens heel wat instellingen achter de inlog op het internet. Ook het deactiveren van de rekening zie ik daaronder staan. Ik weet nu niet precies wat er gebeurt wanneer ik daarop klik bijv., maar ik ga er even vanuit dat daar de pasreader voor nodig is. Klopt dat wat ik nu zeg David..? Hierbij geldt de vraag ook voor eventueel andere belangrijke instellingen die je via het internet op www.knab.nl zou willen doen. Ik hoor dit dan ook graag.

Het lijkt mij niet echt logisch dat met een wachtwoord en een gebruikersnaam alles (zomaar) kan worden aangepast. Maar ok..ik wacht het antwoord even af.
Als ik inlog via een browser, computer of mobiel, dan is alleen mijn gebruikersnaam en wachtwoord nodig. Wanneer ik de Knab app installeer op mijn mobiel, dan moet ik naar mijn gebruikersnaam en wachtwoord ook een code invoeren met mijn pas en reader. Dit is totaal niet logisch. 2FA tijdens het inloggen, op welke manier dan ook, is het minste wat ik verwacht bij een bank.

Reageer