Hoe werkt een e.dentifier?

Als ik iets wazig vind is het wel on-line bankieren. Je meld je aan bij de bank je stopt je bankpas in zo'n klein wazig apparaatje en je hebt verbinding met je bank, teminste als je pincode en de andere code's goed ingetypt zijn. Heeft de e.dentifier contact met de bank ofzo?

Weet jij het antwoord?

/2500

Het beste antwoord

Het ligt eraan van welke bank je het apparaatje hebt, maar de e.dentifier van de ABN AMRO werkt als volgt: Als je je pas in het apparaatje stopt, vraagt hij je pincode. Die pincode is *niet* bekend bij je bank, die staat alleen op je pas zelf. De e.dentifier communiceert met je pas en 'vraagt' of de pincode die je hebt ingetypt ook klopt. Is dat zo, dan heb je bewezen dat je de rechtmatige eigenaar van de pas bent, en kun je de e.dentifier verder gebruiken. De pincode wordt verder niet gebruikt bij het genereren van de uiteindelijke uitkomst, omdat de bank die pincode niet kent, hebben ze daar niets aan. Bovendien zou die manier het internetbankieren uitermate onveilig maken, omdat er dan een database met pincodes benaderbaar zou zijn via internet. Hoe het wel werkt: zodra je met je pincode aan de e.dentifier hebt bevestigd dat je de eigenaar van de pas bent, voer je het getal in dat op het inlogscherm van het internetbankieren staat. De e.dentifier laat daar een berekening op los, die o.a. is gebaseerd op het nummer van je bankrekening en je pasnummer. Het systeem van internetbankieren kent die berekening ook. De uitkomst van de e.dentifier klopt dan ook met de uitkomst (die uiteraard niet zichtbaar is) van het systeem van internetbankieren. Die uitkomst voer je in in het inlogscherm. Daarmee heb je bewezen dat jij de betreffende bankpas hebt (die is een factor in de berekening) en daar ook de pincode van hebt (die is nodig om de e.dentifier te gebruiken). Een bijzondere eigenschap van de berekening, die verder niet bekend is, is dat het er in ieder geval één is van een soort die niet terug te rekenen is vanuit de bekende input (rekeningnummer, pasnummer en nummer op inlogscherm) en output (nummer dat e.dentifier teruggeeft). Daardoor is het systeem zeer moeilijk te kraken.

Bronnen:
Getrouwd met een informatiebeveiligingsexpert

Nee dat apparaatje heeft geen contact met de bank, althans, niet direct. Het werkt zo: In dat apparaatje zit een klokje. Dit klokje zet de tijd om in een code. Deze code veranderd dus met het tijdsstip, maar is ook in de computer van de bank bekend. Met deze tijdscode word een ingewikkelde formule toegepast met jou bankrekening en andere variabelen. Bij de rabobank moet je bijvoorbeeld ook een code van de site in het apparaatje zetten om jou unieke code te krijgen. Zo weet de computer bij de bank dat jij je goede pincode heb ingetoetst, op het tijdstip dat jij probeert te loggen, met de code die de website jou heb gegeven.

De e.dentifier heeft geen verbinding met de bank. Het apparaat kan de chip in je pas lezen en daarmee nagaan of je de goede pincode hebt ingevoerd. Hoe het werkt is de bank geeft je een getal, bijv. 1234. Jij voert je pincode in (bijv. 1111) + het getal (1234). Het apparaat voert een rekensom uit die je pincode en het getal gebruiken (bijv. 1111+1234 = 2345). De bank weet het getal en ze weten je pincode en ze kunnen dus zelf ook de rekensom doen en op die manier checken of je de goede code hebt ingevoerd. In het echt is de rekensom natuurlijk veel complexer dan getal + pincode. Ik weet vrijwel zeker dat het een rekensom is die niet terug te rekenen is zodat je de pincode niet kunt achterhalen als je het verkeer afluistert Als jij een overschrijving doet zal ook het rekening nummer en het bedrag in de formule worden opgenomen zodat een hacker niet het verkeer kan manipuleren door alleen het rekening nummer te wijzigen (bij een man in the middle aanval). http://nl.wikipedia.org/wiki/Hashfunctie http://en.wikipedia.org/wiki/One-way_function http://nl.wikipedia.org/wiki/Man-in-the-middle-aanval

Stel zelf een vraag

Ben je op zoek naar het antwoord op die ene vraag die je misschien al tijden achtervolgt?

/100