Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Informatiebeveiligers willen speciale TLD voor banken

  • Door
  • Arnout Veenman
  • geplaatst op
  • 30 maart 2007 10:41 uur

F-Secure heeft ICANN opgeroepen om een speciaal domeinnaam te introduceren voor banken en andere financiële instellingen om zo phising tegen te gaan. Wanneer ICANN een .safe (of .bank, .sure) TLD zou introduceren, dan wordt het lastiger om een vergelijkbare domeinnaam te registeren door phisers en zou dat informatiebeveiligers de mogelijkheid geven om nog betere software te maken om het publiek te beschermen.

Mikko Hyppönen, chief research officer van F-Secure verklaarde tegenover The Register:

While a .safe domain name won’t prevent phishing attacks, it will help banks and security providers to keep their customers safe.Using a secure domain name such as .safe will give customers the reassurance they need when banking online. It’s true this will mean banks have to pay a premium to be able to use the domain name, but it will reduce the number of successful phishing sites that have been tricking many customers out of their hard earned cash.

De discussie voor de introductie van een speciale TLD voor banken is niet nieuw. Zelf hoorde ik het voorstel voor het eerste tijdens Domain Pulse 2006 van Werner Staub van CORE tijdens een paneldiscussie. Het panel dat vooral uit internet governance specialisten bestond, was destijds verdeeld over het idee voor een speciale TLD voor banken. Ik ben zelf voorzichtig voorstander van een speciale TLD voor banken, al zal er wel eerst grondig onderzoek moeten worden gedaan naar alle voordelen én nadelen van een speciale TLD voor banken.

Paul, 30 maart 2007 12:44 pm

Ik denk toch persoonlijk dat het effect van een eigen tld om phising sites tegen te gaan zeer minimaal is.

Mensen controleren de url niet en klikken zonder na te denken omdat er in de e-mail staat dat ze dit moeten doen en deze afkomstig is van bijvoorbeeld hun bank.

Misschien kunnen dit soort sites beter gaan werken met een client certificaat. Het is natuurlijk wel nadelig dat de bank of een overheid iedere inwoner/klant een persoonlijk certificaat moet uitreiken. Zonder de private key (welke natuurlijk niet wordt verstuurd) van dit certificaat is het echter onmogelijk om een handshake met de bank te maken.

Pieter, 30 maart 2007 4:41 pm

In reactie op Paul:
Tot voor kort werkte mijn bank met certificaten maar weldra wordt dit vervangen door een nieuw systeem. Hierbij dien je eerst je kaart in een toestel te steken en dan een code over te tikken van het scherm evenals je PIN-code van de kaart. De code die je zo krijgt voer je dan in op de website.

Een aparte TLD kan voor een extra veiligheid zorgen maar weet ook dat de Rabobank zowel een .be als een .nl heeft en die niet hetzelfde zijn. De Belgische overheid heeft er trouwens al voor gezorgd dat elke inwoner een eigen certificaat heeft. Dit staat namelijk doodgewoon op onze identiteitskaart. Dit certificaat kan voor tal van zaken gebruikt worden die ook buiten de overheid werken. Inloggen op je computer of je aanmelden op de website van je ziekenfonds zijn maar een klein aantal voorbeelden. Enig nadeel is dat niet iedereen een kaartlezer heeft die al snel iets van 15 euro kost in de winkel.

Arjan Bijnen, 30 maart 2007 4:55 pm

@Pieter: Het systeem wat jij bedoelt is waarschijnlijk een Vasco Keysystem. Leuk beveiligingsmiddel maar ik heb er mijn twijfels bij Hetgeen wat een dergelijk kastje namelijk hardware matig doet moet ook software matig mogelijk zijn. Mensen met de kennis hierover kunnen zo het systeem kraken en de gegevens misbruiken.

Het systeem wat de Postbank gebruikt bevalt mij beter. Gewoon inloggen met een gebruikersnaam en wachtwoord en indien transacties bevestigen met een code welke je per sms naar je mobiel toegezonden krijgt. Ik denk dat de kans om het Vasco systeem te kraken groter is dan dat iemand en jou gebruikersnaam en wachtwoord weet en ook nog eens in het bezit is van je mobiele telefoon.

Het systeem van de Postbank is los van mijn eigen voorkeur al meerdere keren als veiligste getest.

Arjan Bijnen, 30 maart 2007 5:38 pm

Als aanvulling op mijn bericht zojuist nog een recent artikel op nu.nl:
http://www.nu.nl/news/1026481/60/ABN_Amro_neemt_maatregelen_na_nepmails.html

Dat geeft in principe wel wat aan over de veiligheid. Voor zover bekend is dit in het verleden nog niet voorgevallen bij de Postbank.

  • Pingback: ICTRecht Weblog » Kan een .bank domeinextensie phishing voorkomen?

  • Pingback: Kan een .bank domeinextensie phishing voorkomen? - Domeingeschil weblog

  • Laatste reacties

    Bedankt voor het succes van ISPam.nl
    Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

    Bedankt voor het succes van ISPam.nl
    Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

    Bedankt voor het succes van ISPam.nl
    L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

    Bedankt voor het succes van ISPam.nl
    Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

    Bedankt voor het succes van ISPam.nl
    Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.