copyright 1998-2018 by Mark Verboom
ipv6 ready RSS Feed Schakel naar Nederlands

Go back to What's new

Beveiliging banken websites

To blog index

Sunday, 12 July, 2015

Beveiliging banken websites

Toen ik vanmorgen een transactie uitvoerde via mijn bank (ASNBank) zag ik dat deze netjes een score van 10 aangaf in ssleuth. Deze add-on is overigens erg handig om een idee te krijgen of de verbinding tussen je webbrowser en de webserver van het website een beetje veilig is. Uiteraard zegt dit niets over de veiligheid van de applicatie bij de bank.

Ik vroeg me daarna af hoe de websites van de verschilende banken zich verhouden, zetten ze allemaal een veilige verbinding op met de webbrowser?

Ik heb de volgende banken even snel gescanned:

  • ABN/AMRO Bank
  • ASN Bank
  • ING Bank
  • KNAB
  • Rabobank
  • SNS Bank

De test is vrij simpel, SSLabs heeft een handige tool die makkelijk en snel inzicht geeft in de beveilinging van de verbinding tussen de webbrowser en de webserver. SSLlabs geeft ook een waardering aan een website, varierend van een F (slecht) tot A+ (uitmuntend). Alhoewel dat een indruk geeft is het zeker niet het hele verhaal.

Gelukkig zitten er geen slechte websites bij. Maar er is wel verschil tussen de sites.

Opvallend is dat niet bij alle banken HSTS aan staat. Met HSTS kan de webserver aan de webbrowser aangeven dat een verbinding met de webserver altijd beveiligd moet zijn. Wanneer je dan bijvoorbeeld een spam mailtje ontvangt met een link naar een nagemaakt website van de bank (vaak niet beveiligd) zal je webbrowser wijgeren omdat deze heeft opgeslagen dat de verbinding beveiligd moet zijn.

Een ander punt is het gebruik van de soort beveiliging. Zonder diep de techniek in te gaan is het zogenaamde Perfect Forward Secrecy momenteel de beste optie. Maar niet alle banken bieden dit aan.

Alle banken gebruiken een Extended Validation (EV) certificaat. Dit is vaak te zien aan de groene balk bovenin de browser. De betekend in iedergeval dat het bedrijf wat het certificaat heeft verstrekt aan de bank een uitgebreide controle heeft uitgevoerd of de aanvrager ook daadwerkelijk de bank is.

Hieronder een kort overzicht van de resultaten per bank.

ABN/AMRO Bank

Geteste url: https://www.abnamro.nl

  • SSLlabs test geeft een A-
  • Bank ondersteund HSTS
  • Bank ondersteund geen Perfect Forward Secrecy
  • Bank gebruikt nog SHA1 voor de authenticatie code

ASN Bank

Geteste url: https://www.asnbank.nl

  • SSLlabs test geeft een A
  • Bank ondersteund geen HSTS
  • Bank ondersteund Perfect Forward Secrecy

ING Bank

Interessant bij de ING is dat het hoofd website (https://www.ing.nl ondersteuning heeft voor Perfect Forward Secrecy and SHA2 gebruikt, maar de uiteindelijke site om in te loggen voor je rekening niet.

Geteste url: https://mijn.ing.nl

  • SSLlabs test geeft een A-
  • Bank ondersteund HSTS
  • Bank ondersteund geen Perfect Forward Secrecy
  • Bank gebruikt nog SHA1 voor de authenticatie code

KNAB

Geteste url: https://persoonlijk.knab.nl

  • SSLlabs test geeft een A-
  • Bank ondersteund HSTS
  • Bank ondersteund geen Perfect Forward Secrecy
  • Bank gebruikt nog SHA1 voor de authenticatie code

Rabobank

Geteste url: https://bankieren.rabobank.nl

  • SSLlabs test geeft een A-
  • Bank ondersteund HSTS
  • Bank ondersteund geen Perfect Forward Secrecy
  • Bank gebruikt nog SHA1 voor de authenticatie code

SNS Bank

Geteste url: https://www.snsbank.nl

  • SSLlabs test geeft een A
  • Bank ondersteund geen HSTS
  • Bank ondersteund Perfect Forward Secrecy