Random Readers
Inloggen op de website van de bank is tegenwoordig kinderlijk eenvoudig. Het online bankieren raakt, voor zo ver nog niet gebeurt, steeds meer ingeburgerd. Even snel geld overboeken is nog maar een kwestie van inloggen op de website en men kan aan de slag.
Zonder dat de gebruiker van het online bankieren er bij na denkt logt hij of zij wel in op een website. Maar dit soort internet zaken is geen kinderspel. Het gaat hier niet over kudo’s, virtueel geld of spaarpunten. De website van de bank gaat over echt geld dat ook door dieven graag gestolen wordt. Nu is een dief op de digitale snelweg meestal een hacker, maar ook tegen dit soort ongenode gasten moeten de klanten van de bank beschermd worden.
Deze bescherming begint al bij de inlog methode. Waar op de meeste websites ingelogd wordt met een gebruikersnaam en wachtwoord, wordt op de website van de bank ingelogd met een de bankkaart en een pincode. Deze methode van inloggen wordt twee-factor authenticatie genoemd.
Bij deze twee-factor authentiactie gebruikt de klant twee van de drie mogelijke authenticatie methoden:
- Een geheim dat alleen de gebruiker weet (In het geval van de bank de pincode)
- Iets wat alleen de gebruiker heeft (De bankpas)
- Wat de gebruiker zelf is (Een vingerafdruk)
Voor overduidelijke redenen wordt bij het bankieren gebruikgemaakt van de pincode en de bankpas, het geheim en iets wat alleen de gebruiker heeft. De laatste methode wordt nooit gebruikt omdat het alleen al een vrij dure optie is om elke gebruiker een vingerafdrukscanner cadeau te doen.
De twee gebruikte items, de bankpas en de pincode, zorgen samen voor het wachtwoord dat gebruiker nodig heeft om in te loggen. Dit wachtwoord ontstaat natuurlijk niet zomaar. Om tot het wachtwoord te komen, moet de gebruiker zijn kaart en pincode ingeven in een zogenaamde diggipas.
Gezamenlijk vormen deze gegevens van de gebruiker en de digipass uiteindelijk het wachtwoord dat ingevoerd wordt op de website van de bank. Klinkt redelijk eenvoudig toch? Je hebt een bankpas, een pincode en een digipass nodig om toegang tot het online bankieren te krijgen. Maar laten we de procedure eens nader bekijken. Wat gebeurt er nu precies achter de schermen?
De diggipass genereert het wachtwoord doormiddel van een bepaald algoritme. In dit algoritme zitten verschillende variabelen zoals de door de gebruikers ingevoerde gegevens maar ook de tijd. Deze tijd is van groot belang, elke wachtwoord is maar voor één bepaalde tijdsperiode geldig. (meestal 30 seconden tot 1 minuut). Deze tijdfactor maakt het inloggen met een digipass veel veiliger dan een normaal wachtwoord.
Natuurlijk bestaat het hele inloggen bij de bank niet alleen uit de bankpas, de pincode en de digipass. Om de beveiliging helemaal veilig te maken worden de gegevens als eerste alleen over een https (hyper text transfer protocol secured , https:// red.) verbinding verstuurd. Dit is een beveiligde verbinding waarmee gegevens versleuteld, dus onleesbaar voor mensen, worden verzonden. Op deze manier zijn de gegevens veilig voor eventueel hackers die loeren op deze belangrijke gegevens. Mochten de gegevens dan toch per ongeluk in verkeerde handen komen, dan zijn ze zo versleuteld dat de ontvanger er eigenlijk niets mee kan.
Als de gegevens eenmaal bij de bank zijn aangekomen, worden ze door een RADIUS (Remote Authentication Dail In User Service) server geverifieerd. Zoals de naam al doet vermoeden is een RADIUS server een speciaal soort server. Met een RADIUS server wordt de gebruiker gecontroleerd. Is hij of zij, wel echt wie hij of zij zegt te zijn. De RADIUS server ontvangt de gegevens die de klant naar de website van de bank stuurt (het wachtwoord van de digipass, zijn bankrekening en eventueel wat extra gegevens). De RADIUS server berekend bij het ontvang zelf eerst het wachtwoord dat bij de ontvangen gegevens hoort. Dit gaat op de zelfde methode als bij de digipass. Het rekeningnummer wordt gecombineerd in een algoritme met de pincode en de tijdsperiode waarin het wachtwoord valt.
Als alles klopt verleent de RADIUS server toegang tot de gegevens en kan het veilig overboeken van geld beginnen.
2 reacties
Wouter 12 mei 2010 om 13:17
Afaik wordt RADIUS bij bijv. de rabobank alleen gebruikt bij telebankieren en niet internetbankieren, heb je hier een bron van?
Bij het overboeken middels een random reader moet je bij grotere bedragen ook vaak het bedrag intypen wat nog aan het algoritme toegevoegd wordt. Wat ik interessanter vindt is hoe dit algoritme in elkaar steekt en hoe de random readers beveiligd zijn, ik neem aan dat de software wel uit de random reader te vissen is.
Ook zijn er banken zoals ING die geen random reader gebruiken, maar enkel met username/password en TAN-codes op papier of via je telefoon. Hierbij heb je een volledig andere invalshoek voor dit artikel..
Richard van Laak 12 mei 2010 om 15:38
Volgens mij vind iedereen het ‘uiterst geheime’ algoritme dat in de Random Reader zit wel interessant. Het is denk ik een kwestie van asymmetrische encryptie, wat dus inhoudt dat je niets aan het algoritme hebt als je niet ook het algoritme van de RADIUS server hebt.
Sinds kort moet bij de Rabobank overigens ook het 4-cijferige pasnummer worden ingevoerd. Dit maakt voor de gebruikers niet heel veel lastiger aangezien ze in het bezit zijn van de pas. Het kraken van het systeem wordt daarentegen flink bemoeilijkt, weer 9999 extra opties die er per poging bij komen.
Dat brengt ons op 9999 9999 9999 mogelijke opties, als je beschikt over het rekeningnummer.
Jouw reactie