Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update
ING gaat een nieuw beveiligingsbeleid voor internetbankieren invoeren. Klanten kunnen hun wachtwoord straks via een sms opvragen; nu gebeurt dat nog via een postkantoor. Het nieuwe beleid kan een stuk onveiliger zijn.
Wie vanaf 15 maart 2010 zijn wachtwoord voor internetbankieren via Mijn ING wil opvragen, hoeft niet meer vijf werkdagen te wachten op een afhaalbericht waarmee bij een ING-kantoor een wachtwoord kan worden opgehaald. In plaats daarvan zal deze in een sms-bericht worden afgeleverd.
De wijzigingen worden aangekondigd op de website van ING. De bank claimt de verandering door te voeren om het gebruikersgemak te bevorderen, maar het nieuwe beleid roept ook vragen op. Wie in wil breken op iemands account voor internetbankieren, heeft als het nieuwe beleid ingaat namelijk niets meer nodig dan iemands telefoon, gebruikersnaam, pasnummer en geboortedatum. Een portemonnee en een mobieltje roven uit een kluisje in het zwembad is dus bijna genoeg om in te loggen op iemands account; alleen de gebruikersnaam moet nog worden geraden. In veel gevallen is dit de voorletter, gecombineerd met de achternaam.
ING-klanten reageren op GoT dan ook bezorgd op de nieuwe beveiliging. In de aankondiging wordt overigens alleen vermeld dat het wachtwoord kan worden opgevraagd via sms, maar volgens een medewerkster van de ING-helpdesk kan ook de gebruikersnaam via sms worden verzonden. "Maar daarvoor heb je wel een pasnummer en geboortedatum nodig", voegt ze toe. Een woordvoerster van ING laat echter weten dat de gebruikersnaam niet per sms kan worden opgevraagd.
Beveiligingsexpert Hans van de Looy van beveiligingsbedrijf Madison Gurkha reageert echter verontrust. "Op dit moment heb je de controle over twee kanalen nodig om betalingen te kunnen doen", zegt hij. Betalingen moeten namelijk worden bevestigd via een zogeheten tan-code, die bij veel klanten via een sms-bericht wordt bezorgd. Een wachtwoord moet via een andere weg - het postkantoor - worden opgehaald. Als zowel de tan-codes als het wachtwoord via sms worden verstuurd, verdwijnt volgens Van de Looy een deel van de beveiliging: "Een van de twee kanalen valt gewoon weg. Gebruikers worden hierdoor aanzienlijk kwetsbaarder."
Het huidige beleid is wat hem betreft dan ook een stuk veiliger, omdat klanten zich bij een ING-kantoor moeten legitimeren om het wachtwoord op te kunnen halen. Het versturen van wachtwoorden via sms-berichten is overigens niet van toepassing op klanten die geen tan-codes op hun telefoon ontvangen en in plaats daarvan de papieren lijsten gebruiken. Van de Looy adviseert ING-klanten om, als het nieuwe beleid ingaat, hun portemonnee en telefoon nooit samen op te bergen. "Huur bijvoorbeeld twee kluisjes, een voor je telefoon en een voor je portemonnee."
ING-woordvoerster Monique Bouwmeester laat in een reactie weten dat de bank 'een goede afweging tussen klantvriendelijkheid en beveiliging wil maken'. Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. Ook benadrukt ING te voldoen aan de richtlijnen die toezichthouders voor internetbankieren hebben opgesteld. Klanten zouden de huidige manier waarop een wachtwoord moet worden aangevraagd niet klantvriendelijk genoeg vinden, omdat ze daarvoor naar een ING-kantoor moeten komen.
Update, 15:48: ING laat in een reactie weten dat de gebruikersnaam níet per sms-bericht kan worden opgevraagd, zoals een ING-medewerkster eerder liet weten. Hiermee is het nieuwe beveiligingsbeleid dus 'iets minder onveilig' dan gedacht, zegt beveiligingsexpert Hans van de Looy. "Het maakt het wel wat lastiger", zegt hij. "Maar dan zou ING klanten wel moeten adviseren hun gebruikersnaam te wijzigen in iets wat moeilijk te raden is." Een combinatie van een voorletter en een achternaam, zoals ING die standaard voor nieuwe klanten instelt, is volgens Van de Looy veel te makkelijk te raden. ING-woordvoerster Monique Bouwmeester zegt dat gebruikers hun username inderdaad beter kunnen veranderen naar iets wat niet voor de hand ligt. "Het is nooit slim om je voorletter en achternaam in te stellen als gebruikersnaam", zegt ze.
Reacties (348)
Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. .
Sure, het gaat om geld..... dan is het bijna per definitie interessant om fraude te plegen.
Ik heb gisteren de thread gelezen op GoT, en met name het idee dat je en kunt telebankieren op een iPhone (of ander toestel) en op datzelfde apparaat (dus in band) je username kunt ontvangen is eng. Zie deze reactie met name: http://gathering.tweakers...message/33346541#33346541
Tel daarbij op dat het raar is om een gebruikersnaam tot geheim te verheffen (want makkelijk raadbaar, en nu nog niet geheim) is niet echt een best practice.
Sure, het gaat om geld..... dan is het bijna per definitie interessant om fraude te plegen.
Ik heb gisteren de thread gelezen op GoT, en met name het idee dat je en kunt telebankieren op een iPhone (of ander toestel) en op datzelfde apparaat (dus in band) je username kunt ontvangen is eng. Zie deze reactie met name: http://gathering.tweakers...message/33346541#33346541
Tel daarbij op dat het raar is om een gebruikersnaam tot geheim te verheffen (want makkelijk raadbaar, en nu nog niet geheim) is niet echt een best practice.
[Reactie gewijzigd door Boudewijn op dinsdag 26 januari 2010 12:10]
Waarschijnlijk een stuk goedkoper zo dan al dat papierwerk via het postkantoor. Ik vind dat hele TAN code gebeuren sowieso al een raar gedoe, installeer een keylogger op een PC en je hebt inloggegevens waarmee je leuk alle betalingsverkeer kan inzien (daarvoor had je toch geen TAN nodig?).
Weet 1 ding zeker... Ik blijf bij mijn huidige bank met RandomReader, alles gaat gewoon via PAS + PINCODE, als ze die toch al hebben, kunnen ze net zo goed naar een automaat lopen om mijn rekening leeg te plunderen (ok kans op camera-bewaking).
Misschien ben ik wel verwend bij de Rabobank dat ik deze beveiliging wel heel erg houtje touwtje vind... Portomonnee + mobiel weg en ook nog eens met een lege bankrekening worden achter gelaten
Weet 1 ding zeker... Ik blijf bij mijn huidige bank met RandomReader, alles gaat gewoon via PAS + PINCODE, als ze die toch al hebben, kunnen ze net zo goed naar een automaat lopen om mijn rekening leeg te plunderen (ok kans op camera-bewaking).
Misschien ben ik wel verwend bij de Rabobank dat ik deze beveiliging wel heel erg houtje touwtje vind... Portomonnee + mobiel weg en ook nog eens met een lege bankrekening worden achter gelaten
[Reactie gewijzigd door XiniX88 op dinsdag 26 januari 2010 12:16]
ABN bedoel je denk ik?
Als die batterij leeg ik kan je hem gaan ruilen voor 8 euro.
Mischien kan je hem zelf openbreken maar kan beveiligd zijn.
Als die batterij leeg ik kan je hem gaan ruilen voor 8 euro.
Mischien kan je hem zelf openbreken maar kan beveiligd zijn.
Die zijn bijna zeker tegen openmaken beveiligd. Kan je wel vrolijk je batterij vervangen, maar dan zal alles gewist zijn (als dat nog niet was gebeurd door een lege batterij en volatile memory)
Bij die e-dentifier lukte mij het, je trekt ze zo open, en er zitten twee batterijtjes in, en door ze van plek te verwisselen kan je er nog even mee vooruit. 
Ze zijn prima open te maken, beveiligen van deze readers is ook niet nodig aangezien ze geen spannende info bevatten, er valt niets te wissen.
De readers zijn voor het grootste deel een beeldscherm/keyboard voor de chip op je pas, ze doen zelf vrij weinig. Ik kan probleemloos de reader van mijn vriendin gebruiken of van een willekeurige andere klant van mijn banken.
Wat mij betreft vreemd dat de ING niet overstapt naar een dergelijk systeem ipv vast te blijven houden aan fraudegevoelige wachtwoorden.
De readers zijn voor het grootste deel een beeldscherm/keyboard voor de chip op je pas, ze doen zelf vrij weinig. Ik kan probleemloos de reader van mijn vriendin gebruiken of van een willekeurige andere klant van mijn banken.
Wat mij betreft vreemd dat de ING niet overstapt naar een dergelijk systeem ipv vast te blijven houden aan fraudegevoelige wachtwoorden.
Zakelijke ING klanten hebben wel al een Digipas zoals de SNS dat voor al zijn klanten heeft.
Wat mij betreft vreemd dat de ING niet overstapt naar een dergelijk systeem ipv vast te blijven houden aan fraudegevoelige wachtwoorden.
Dat is gewoon een kosten-baten analyse. Men doet een inschatting van de te vergoeden schade die klanten leiden door fraude vs de investering die men moet doen om die fraude te voorkomen. Als je 50 miljoen moet uitgeven om 40 miljoen te voorkomen dan vergoed men gewoon die 40 miljoen. Dat dat heel vervelend is voor klanten enzo is niet relevant in deze vergelijking. Er wordt dus alleen vanuit de portomonaie gedacht en niet vanuit de klant.
Dat is gewoon een kosten-baten analyse. Men doet een inschatting van de te vergoeden schade die klanten leiden door fraude vs de investering die men moet doen om die fraude te voorkomen. Als je 50 miljoen moet uitgeven om 40 miljoen te voorkomen dan vergoed men gewoon die 40 miljoen. Dat dat heel vervelend is voor klanten enzo is niet relevant in deze vergelijking. Er wordt dus alleen vanuit de portomonaie gedacht en niet vanuit de klant.
Het zal ongetwijfeld een kosten-baten analyse zijn, als snap ik de rationale erachter niet helemaal.... De ING/Postbank combinatie is erg vaak in het nieuws gekomen in combinatie met phishing attempts. Zelf bankier ik bij de ABN en heb nog nooit zoiets ontvangen; vermoedelijk omdat de e-dentifier van de ABN niet zo eenvoudig af te vangen is.
Als bank in het nieuws komen omdat je klanten weer benaderd worden door de Russische maffia is publiciteit waar niet een bedrag aan te verbinden is. Als ik ING was zou ik over stappen op 2 factor authenticatie dmv een pas-lezer
Als bank in het nieuws komen omdat je klanten weer benaderd worden door de Russische maffia is publiciteit waar niet een bedrag aan te verbinden is. Als ik ING was zou ik over stappen op 2 factor authenticatie dmv een pas-lezer
> De ING/Postbank combinatie is erg vaak in het nieuws gekomen in combinatie met phishing attempts.
Conclusies trekken moet je wel goed doen en niet op basis van buikgevoel. De combinatie ING/Postbank maakt het voor dieven gewoon aantrekkelijk met ik meen tegen de vijf miljoen aan rekeningen in Nederland. Ook de Rabobank heeft haar problemen wel gehad hoor.
Ik heb beide systemen, reader en TAN en kwa beveiliging ontlopen ze elkaar niets en op basis van het oude systeem van ING is deze een stap veiliger. Inloggen en betalen zijn gescheiden systemen, effectief heb je twee wachtwoorden. Bij de Rabo (en anderen) ben je afhankelijk van een reader maar weet je eenmaal de PIN-code dan is er geen enkel vangnet, effectief heb je hier maar 1 wachtwoord. Wat in het artikel terecht staat is de opmerking over het samenvoegen van deze kanalen. Feitelijk wordt de ING oplossing dan dus duidelijk minder aantrekkelijk, echter als je een goede gebruikersnaam verzint dan zijn ze min of meer vergelijkbaar. De encryptie zelf is in beide systemen dik voldoende al zijn garanties natuurlijk nooit af te geven.
Kwa gebruikersgemak ga ik zeker voor de TAN oplossing omdat ik de telefoon altijd bij me heb en de reader ligt thuis in de la.
Conclusies trekken moet je wel goed doen en niet op basis van buikgevoel. De combinatie ING/Postbank maakt het voor dieven gewoon aantrekkelijk met ik meen tegen de vijf miljoen aan rekeningen in Nederland. Ook de Rabobank heeft haar problemen wel gehad hoor.
Ik heb beide systemen, reader en TAN en kwa beveiliging ontlopen ze elkaar niets en op basis van het oude systeem van ING is deze een stap veiliger. Inloggen en betalen zijn gescheiden systemen, effectief heb je twee wachtwoorden. Bij de Rabo (en anderen) ben je afhankelijk van een reader maar weet je eenmaal de PIN-code dan is er geen enkel vangnet, effectief heb je hier maar 1 wachtwoord. Wat in het artikel terecht staat is de opmerking over het samenvoegen van deze kanalen. Feitelijk wordt de ING oplossing dan dus duidelijk minder aantrekkelijk, echter als je een goede gebruikersnaam verzint dan zijn ze min of meer vergelijkbaar. De encryptie zelf is in beide systemen dik voldoende al zijn garanties natuurlijk nooit af te geven.
Kwa gebruikersgemak ga ik zeker voor de TAN oplossing omdat ik de telefoon altijd bij me heb en de reader ligt thuis in de la.
Alsjeblieft geen paslezer. Alles beter dan dat.
De rabobank heeft ook een token generator, die heet random reader.
Die dingen zijn waarschijnlijk aardig tamperproof: openen gaat waarschijnlijk niet zonder schade, en de ICs zullen onder de epoxy zitten waardoor je ze niet 1-2-3 kunt bekijken (en hun pinnen dus ook niet aflezen met een logic analyser).
Die dingen zijn waarschijnlijk aardig tamperproof: openen gaat waarschijnlijk niet zonder schade, en de ICs zullen onder de epoxy zitten waardoor je ze niet 1-2-3 kunt bekijken (en hun pinnen dus ook niet aflezen met een logic analyser).
Klopt inderdaad, ik heb het eens geprobeert met een oude, openen is undoable. Met een moker en een beitel heb ik m open gekregen 
maar dan is de print ook doormidden + dat er ICtjes zitten met een soort lichtsensors oid, zo'n glaasje bovenop.
Maar bij de Rabobank krijg je gewoon gratis een nieuwe als ie leeg/stuk is
maar dan is de print ook doormidden + dat er ICtjes zitten met een soort lichtsensors oid, zo'n glaasje bovenop.Maar bij de Rabobank krijg je gewoon gratis een nieuwe als ie leeg/stuk is
wat fijn frees gereedschap is genoeg hoor, zo te krijgen in de bouwmarkt.
Ik heb em ook wel eens open gemaakt en dat ging prima zonder de problemen die jij noemt.. Moker? Klinkt als Amerikaanse praktijken.. Nee hoor met een schroevendraaier.. maar zit een schakelaar ergens in het midden, als je het contact verbreekt kun je er niks meer mee.. Je kan die dingen inderdaad gratis ophalen bij de Rabo, erg netjes.. Ik heb er 3 
1 op kantoor, een thuis en een onderweg.. 
Ik ga echt nooit naar ING beveiliging liet al te wensen over maar dit is wel heel triest.. Doet me een beetje denken aan:
1 op kantoor, een thuis en een onderweg.. Ik ga echt nooit naar ING beveiliging liet al te wensen over maar dit is wel heel triest.. Doet me een beetje denken aan:
Herman FinkersBij ons in het dorp hadden 9 mensen telefoon.
De dokter had telefoonnummer 1
De kapper had telefoonnummer 2
Fam Jansen had telefoonnummer 3
Wij hadden telefoonnummer 4
De buren hadden telefoonnummer 5
Fam Joos had telefoonnummer 6
Fam Hansen had een geheim nummer
Fam De Griek had telefoonnummer 8
Fam de Vries had telefoonnummer 9
Lol, Fam Hansen
Die random reader hoeft helemaal niet tamper proof te zijn. De hash code rekent de bank kaart voor je uit. De chip in de bank kaart is inderdaad beveiligd. De lezer is eerder een apparaatje waar geen malware in draait.
Overigens, is ook met dergelijke token generators een man in the middle attack mogelijk.
Overigens, is ook met dergelijke token generators een man in the middle attack mogelijk.
voor kleine bedragen wel, voor grote bedragen (volgens mij >€1000) wordt het echter lastig, omdat dan het totaalbedrag in de vergelijking van je randomreader moet worden opgenomen.
Bij nog grotere bedragen moet je naast het totaal bedrag ook nog eens een van de rekening nummers in de transacite meegeven.
De chip op je kaart rekent alles uit. De sleutels krijgt de random reader nooit te zien. De random reader kun je het beste zien als niets meer dan een toetsenbord en een scherm.
Op misschien een software wijziging om wat onnodige menu itempjes uit te schakelen ofzo na zit ook daadwerkelijk geen speciale informatie in. Sterker nog, al zou je een reader van Fortis gebruiken (zelfde type), dan nog werkt het.
De reden dat ie toch beveiligd is is simpel: Skimming
Op misschien een software wijziging om wat onnodige menu itempjes uit te schakelen ofzo na zit ook daadwerkelijk geen speciale informatie in. Sterker nog, al zou je een reader van Fortis gebruiken (zelfde type), dan nog werkt het.
De reden dat ie toch beveiligd is is simpel: Skimming
Sterker nog, al zou je een reader van Fortis gebruiken (zelfde type), dan nog werkt het.
Nee hoor, ik krijg kaartfout als ik mijn Rabobank pas in een Fortis reader (dezelfde als de rabo) stop. Kennelijk is er nog een extra checkje.
Nee hoor, ik krijg kaartfout als ik mijn Rabobank pas in een Fortis reader (dezelfde als de rabo) stop. Kennelijk is er nog een extra checkje.
rabo, en ik betaal helemala nergens voor (als ie stuk is of leeg - whatever) ga ik naar de bank en zeg: "doettieniemeer meneeer" en dan krijg ik een nieuwe, ben hem wel 1x kwijt geraakt (dus kon geen oude terug geven, toen kostte het me geloof ik wel een paar euro (maar das logisch. je paspoort is na kwijtraken ook duurder dan na verlopen. )
Zelfs toen ik hem kwijt was heb ik niets hoeven betalen. Zou op zich wel redelijk zijn geweest natuurlijk.
Later heb ik hem ook nog een keer moeten omruilen omdat de codes niet meer werken omdat de klok in de Random Reader te ver voorliep, dan werkt de code die je krijgt niet meer
Later heb ik hem ook nog een keer moeten omruilen omdat de codes niet meer werken omdat de klok in de Random Reader te ver voorliep, dan werkt de code die je krijgt niet meer
Paspoort kwijtraken, daar krijg je in ieder geval geen boete meer voor. Je moet nog wel voor een nieuwe betalen. Wat mij betreft wel logisch.
Bij een bank vind ik dat ze die readers ed. wel gratis mogen aanbieden, tot een aantal keer per jaar. Vaker kwijtraken of kapot is misschien verdacht of gewoon slordig? Ze vragen genoeg geld elk jaar voor het gebruik van je bankpas, naast nog eens de kosten voor je CCard.
Bij een bank vind ik dat ze die readers ed. wel gratis mogen aanbieden, tot een aantal keer per jaar. Vaker kwijtraken of kapot is misschien verdacht of gewoon slordig? Ze vragen genoeg geld elk jaar voor het gebruik van je bankpas, naast nog eens de kosten voor je CCard.
Je krijgt wel degelijk een boete voor een paspoort kwijt raken, weet ik uit eigen ervaring (vorige maand gedaan) - En als je een nood-document hebt gekregen (en daar ook flink voor hebt gedokt) moet dat OOK alsnog bij het aanvragen van een echt paspoort...
@Gizzy
Webdoc heeft gelijk. Je krijgt inderdaad een boete bij kwijtraken. Wat de Overheid echter aan wil passen is de boete wanneer je buiten jouw schuld om je paspoort verliest. Lees dit artikel maar even.
Verder vind ik het een bijzonder kwalijke zaak wanneer een bank, die met zijn product enorm stoelt op het vertrouwen van de klant, klantvriendelijkheid voorrang geeft boven veiligheid. Dát straalt enorm veel vertrouwen uit maar niet heus.
Wellicht een idee om iedereen op te roepen bij de ING weg te gaan en bijvoorbeeld naar de rabobank te verhuizen. (ik ben geen medewerker van de rabo
).
Webdoc heeft gelijk. Je krijgt inderdaad een boete bij kwijtraken. Wat de Overheid echter aan wil passen is de boete wanneer je buiten jouw schuld om je paspoort verliest. Lees dit artikel maar even.
Verder vind ik het een bijzonder kwalijke zaak wanneer een bank, die met zijn product enorm stoelt op het vertrouwen van de klant, klantvriendelijkheid voorrang geeft boven veiligheid. Dát straalt enorm veel vertrouwen uit maar niet heus.
Wellicht een idee om iedereen op te roepen bij de ING weg te gaan en bijvoorbeeld naar de rabobank te verhuizen. (ik ben geen medewerker van de rabo
).[Reactie gewijzigd door musiman op dinsdag 26 januari 2010 13:54]
Ach het versturen van die talloze TAN codes en nu dus ook user/password info via SMS is ook neit gratis, dus het uitdelen van Random readers die voor een dubbie in china worden gemaakt zal vast niet duurder zijn.
Ik heb er gewoon 3 van de Rabo.
Telkens 1 gehaald.
Heb ik op verschillende plaatsen toch een calculator
Telkens 1 gehaald.
Heb ik op verschillende plaatsen toch een calculator
Hier hoefde ik gelukkig ook niks te betalen nadat ik hem kwijt was geraakt
Toen ik hem had gevonden natuurlijk wel netjes alsnog ingeleverd
Om een of andere vage reden werkte de oude randomreader toen trouwens niet meer, want ik probeerde hem een keer nog uit toen ik hem weer had gevonden.
Toen ik hem had gevonden natuurlijk wel netjes alsnog ingeleverd
Om een of andere vage reden werkte de oude randomreader toen trouwens niet meer, want ik probeerde hem een keer nog uit toen ik hem weer had gevonden.
De Rabobank werkt met een random reader (ABN ook?). Bij de Rabobank kun je gratis een nieuwe halen als hij niet meer werkt. Is overigens nog maar één keer voorgekomen bij mij.
Persoonlijk ben ik ook wel erg blij met de manier van beveiligen via de randomreader. Het voelt gewoon veilig, ik heb mijn pinpas en mijn pincode nodig. Zoals XiniX88 zegt, als die twee elementen in bezit zijn van fraudeurs/dieven, dan is de zaak toch al verloren. Bij diefstal/vermissing van je pinpas laat je sowieso gelijk je rekening blokkeren.
Enige manier van frauderen die op deze manier nog niet afgedekt is, is via skimmen en je pas namaken (maar ook hiervoor geldt: kan ook bij alle andere banken voorkomen). Daarnaast moet je natuurlijk ook heel goed opletten dat je naar de juiste website gaat voor internet bankieren, maar ook dit zul je bij iedere bank moeten doen.
Persoonlijk ben ik ook wel erg blij met de manier van beveiligen via de randomreader. Het voelt gewoon veilig, ik heb mijn pinpas en mijn pincode nodig. Zoals XiniX88 zegt, als die twee elementen in bezit zijn van fraudeurs/dieven, dan is de zaak toch al verloren. Bij diefstal/vermissing van je pinpas laat je sowieso gelijk je rekening blokkeren.
Enige manier van frauderen die op deze manier nog niet afgedekt is, is via skimmen en je pas namaken (maar ook hiervoor geldt: kan ook bij alle andere banken voorkomen). Daarnaast moet je natuurlijk ook heel goed opletten dat je naar de juiste website gaat voor internet bankieren, maar ook dit zul je bij iedere bank moeten doen.
Die chip in je pas is niet te kopiëren, die werkt met een soort challenge-response techniek en zeker niet statische data. Je kan alleen bepaalde data uitlezen als je ook de juiste pincode hebt ingevoerd. De chip bevat zelf een processortje die dus als het ware de 'vragen' beantwoord van een randomreader. Op de chip zelf zit een niet-direct-uitleesbare key die alleen bekend is bij de bank in asymmetrische vorm (PKI signing).Enige manier van frauderen die op deze manier nog niet afgedekt is, is via skimmen en je pas namaken (maar ook hiervoor geldt: kan ook bij alle andere banken voorkomen). Daarnaast moet je natuurlijk ook heel goed opletten dat je naar de juiste website gaat voor internet bankieren, maar ook dit zul je bij iedere bank moeten doen.
Dit is dan ook een zeer sterke schakel in een beveiligingssysteem onder de noemer "wat je hebt" (die private key op de chip, alleen toegankelijk met pincode).
[Reactie gewijzigd door gertvdijk op dinsdag 26 januari 2010 12:44]
Op de chip staat een hash van je pincode. Een aantal random readers (o.a. die van de ABN-AMRO) vereisen dat je eerst de pincode van je pasje intoetst alvorens de challenge-response code gegenereerd wordt. Als die verificatie online zou moeten gebeuren middels een PKI verificatie, dan zou de random reader een netwerkverbinding moeten maken en dat is niet het geval.Op de chip zelf zit een niet-direct-uitleesbare key die alleen bekend is bij de bank in asymmetrische vorm (PKI signing).
Even voor de duidelijkheid; ik doelde meer op het signen dan de toegang verschaffen (i vs S toets bij randomreader Rabobank)Op de chip staat een hash van je pincode. Een aantal random readers (o.a. die van de ABN-AMRO) vereisen dat je eerst de pincode van je pasje intoetst alvorens de challenge-response code gegenereerd wordt. Als die verificatie online zou moeten gebeuren middels een PKI verificatie, dan zou de random reader een netwerkverbinding moeten maken en dat is niet het geval.
Ik snap niet waarom je een netwerkverbinding nodig zou moeten hebben. Klant signt code (ingetoetst vanaf website op reader) met de key op zijn pas, de bank kan eenvoudig verifiëren of de response uit de reader hoort bij de key op de pas, aan de hand van asymmetrische of symmetrische encryptie.
De netwerkverbinding waar jij over praat is een rij getallen die je van de rabobank site moet overtypen om de betaalopdracht alsnog te ondertekenen.
Ook leuk dat ze in geval van die site die leek op de rabobank (hierboven genoemt als trojan, echter werd die alleen gebruikt om de DNS record te verzetten) en andere transacties verstuude, als er zo'n site online is moet je als 2e code ook het bedrag intypen dat je wil overmaken. Er is dus weldegenlijk een controle op dat moment op het precieze bedrag dat je overmaakt, anders klopt de gegenereerde code niet. Dit moet overigens ook bij het overmaken van grote bedragen.
Ook leuk dat ze in geval van die site die leek op de rabobank (hierboven genoemt als trojan, echter werd die alleen gebruikt om de DNS record te verzetten) en andere transacties verstuude, als er zo'n site online is moet je als 2e code ook het bedrag intypen dat je wil overmaken. Er is dus weldegenlijk een controle op dat moment op het precieze bedrag dat je overmaakt, anders klopt de gegenereerde code niet. Dit moet overigens ook bij het overmaken van grote bedragen.
[Reactie gewijzigd door XiniX88 op dinsdag 26 januari 2010 13:09]
Maar dit word wel leuk 'het' controle getal genoemd en niet SALDO. Dit betekend dat je dus makkelijke en transactie van een paar honderd euro kan injecteren.
Bij de rabobank moet je ter controle, afhankelijk van het bedrag:
- Alleen controlegetal invoeren (gevoelig voor elke man-in-the-middle attack)
- (>1000 euro) Controlegetal+bedrag invoeren (gevoelig voor attack waarbij een rekeningnummer veranderd wordt, maar alleen als andere transacties zo aangepast dat hash+totaalbedrag gelijk blijft).
- (>2500 euro) Controlegetal+bedrag+rekeningnummer invoeren (rekeningnummer van de rekening waar het hoogste bedrag heengaat).
Dat is dus behoorlijk waterdicht. Er staat bij hogere overschrijvingen ook bij dat je het totaalbedrag en het rekeningnummer moet intoetsen, het wordt niet als een willekeurig controlegetal gepresenteert. Wel is de laatste methode aardig omslachtig, vandaar dat het bij kleinere bedragen, waarschijnlijk vanwege klantvriendelijkheid, niet gebeurt.
- Alleen controlegetal invoeren (gevoelig voor elke man-in-the-middle attack)
- (>1000 euro) Controlegetal+bedrag invoeren (gevoelig voor attack waarbij een rekeningnummer veranderd wordt, maar alleen als andere transacties zo aangepast dat hash+totaalbedrag gelijk blijft).
- (>2500 euro) Controlegetal+bedrag+rekeningnummer invoeren (rekeningnummer van de rekening waar het hoogste bedrag heengaat).
Dat is dus behoorlijk waterdicht. Er staat bij hogere overschrijvingen ook bij dat je het totaalbedrag en het rekeningnummer moet intoetsen, het wordt niet als een willekeurig controlegetal gepresenteert. Wel is de laatste methode aardig omslachtig, vandaar dat het bij kleinere bedragen, waarschijnlijk vanwege klantvriendelijkheid, niet gebeurt.
> 1000 is reeds veranderd naar >500
Tenminste dat was vorige week wel het geval toen ik 5zoveel over moest maken.
Tenminste dat was vorige week wel het geval toen ik 5zoveel over moest maken.
En daarom ben ik dus blij dat ik bij de Rabobank zit. Het mag best wel een beetje omslachtig zijn, als het maar veilig is. En de manier van de Rabobank geeft mij een vertrouwd en veilig gevoe (en dat slaapt best lekker).l
Mijn vriendin zit/zat bij ING en ik heb haar 1 keer zien inloggen en betalen en was in 1 keer genezen van mijn idee om over te stappen. Nu ik dit lees zal ik haar toch maar weer eens proberen te laten overstappen. Ik zou niet rustig slapen als ik hier mijn zou hebben staan. Het mag dan wel gebruiksvriendelijk zijn, maar veilig lijkt het me niet.
Mijn vriendin zit/zat bij ING en ik heb haar 1 keer zien inloggen en betalen en was in 1 keer genezen van mijn idee om over te stappen. Nu ik dit lees zal ik haar toch maar weer eens proberen te laten overstappen. Ik zou niet rustig slapen als ik hier mijn zou hebben staan. Het mag dan wel gebruiksvriendelijk zijn, maar veilig lijkt het me niet.
Makkelijk?Maar dit word wel leuk 'het' controle getal genoemd en niet SALDO. Dit betekend dat je dus makkelijke en transactie van een paar honderd euro kan injecteren
Als het echt makkelijk zou zijn dan werden er regelmatig rabo rekeningen geplunderd, en dat is niet het geval. Volgens mij is het systeem bijzonder veilig omdat je:
1) via SSL verbinding hebt met de bank, dus in principe niet afluisterbaar
2) pas een SSL verbinding kan opzetten na te zijn ingelogd (ook via de random reader)
3) via die beveiligde verbinding een of meerdere codes doorkrijgt voor elke transactie, welke maar een beperkte tijd geldig zijn en gekoppeld zijn aan jouw rekening en pasje
4) In principe alleen maar iets aan die codes hebt als je ook in het bezit bent van de pas EN de pincode, zelfs een oude pas die niet meer geldig is werkt niet (pasnummer wordt ook gebruikt voor het genereren van de signeercode)
Het saldo van de transactie (dat inderdaad 'controle getal' wordt genoemd) is volgens mij vooral om te voorkomen dat je per ongeluk 2000 euro overmaakt in plaats van 200, niet zozeer voor extra beveiliging, als je al zover bent dat je de controle getallen van de SSL verbinding (of van het scherm) af kunt lezen en ze in kunt toetsen met de juiste pas en pincode, dan maakt het natuurlijk weinig uit wat het getal betekent en hoeveel verschillende getallen je in moet tiepen.
Sowieso is het saldo van de transactie altijd het _tweede_ controle getal, je moet minimaal altijd nog 1 'eerste controlegetal' intoetsen.
Volgens mij kun je het random-reader systeem bijna niet veiliger maken zonder het voor normale mensen onbruikbaar of onhandig te maken. Ik vind het een hele mooie oplossing waar goed over nagedacht is.
[Reactie gewijzigd door johnbetonschaar op dinsdag 26 januari 2010 15:20]
Een hash van een pincode is compleet zinloos. de 10.000 verschillende mogelijkheden voor een pincode zijn binnen een fractie van een seconde te bruteforcen.
De chip in je bankpas moet je zien als een compleet dichtgetimmerd computertje waar alleen een toetsenbordje en een schermpje aan zit. Je kunt via het toetsenbordje een commando sturen naar de pas en de pas geeft op het beeldscherm vervolgens het resultaat. Er is helemaal geen 'geefPincode' commando. Het enige commando wat er is is dat je kunt vragen of 1234 klopt. Op het schermpje komt dan ja of nee te staan. Na 3x nee volgt er vervolgens een selfdestruct en kun je een nieuwe pas halen.
Goed dat was de analogie. En eigenlijk is dat niet ver van de praktijk. De random reader is namelijk niks meer dan een toetsenbordje en een schermpje dat op het compoortje (de metalen vlakjes op je pasje) van de minicomputer (je pas) aansluit en daar commando's op afvuurt en vervolgens het resultaat op het schermpje zet.
De chip in je bankpas moet je zien als een compleet dichtgetimmerd computertje waar alleen een toetsenbordje en een schermpje aan zit. Je kunt via het toetsenbordje een commando sturen naar de pas en de pas geeft op het beeldscherm vervolgens het resultaat. Er is helemaal geen 'geefPincode' commando. Het enige commando wat er is is dat je kunt vragen of 1234 klopt. Op het schermpje komt dan ja of nee te staan. Na 3x nee volgt er vervolgens een selfdestruct en kun je een nieuwe pas halen.
Goed dat was de analogie. En eigenlijk is dat niet ver van de praktijk. De random reader is namelijk niks meer dan een toetsenbordje en een schermpje dat op het compoortje (de metalen vlakjes op je pasje) van de minicomputer (je pas) aansluit en daar commando's op afvuurt en vervolgens het resultaat op het schermpje zet.
Nadeel bij Rabo e.d. is dat je met het random-reader systeem niet controleert dat de begunstigde ook echt de begunstigde is. Als je browser ge-hijacked is, kan hij aangeven dat het naar je beste vriend gaat, terwijl het eigenlijk naar bijvoorbeeld klaas bruinsma gaat.Het voelt gewoon veilig, ik heb mijn pinpas en mijn pincode nodig.
Met een SMS kan worden aangegeven dat <bedrag> naar <bankrekeningnr> gaat. Dat is in potentie veel veiliger: je hebt zo een extra controlekanaal. Natuurlijk is het dan niet handig om je inloggegevens via sms op te sturen. Mobieltje jatten is dan genoeg.
Als je de tan codes van de ING gebruikt, heb je hetzelfde probleem.
Beste zou zijn om op de reader het nummer en hetbedrag in te moeten toetsen en die een code te laten genereren, maar daar wordt het niet makkelijk van...
Op het moment dat je de reader aan de PC hangt om dat te automatiseren, heb je weer het probleem dat de trojan op je PC er dus ook bij kan...
Beste zou zijn om op de reader het nummer en hetbedrag in te moeten toetsen en die een code te laten genereren, maar daar wordt het niet makkelijk van...
Op het moment dat je de reader aan de PC hangt om dat te automatiseren, heb je weer het probleem dat de trojan op je PC er dus ook bij kan...
Klopt. Dit zou kunnen worden afgevangen door de rekeningnummers in de Random Reader in te laten voeren, net als je voor grote transacties het transactiebedrag in moet voeren.
In principe is het zo, dat alles wat je in de Random Reader / E-Dentifier typt niet te tamperen is, omdat je dan simpelweg een foutieve code krijgt aangeleverd. En alles wat wat je niet in dat apparaatje typt is in theorie te tamperen, omdat dit op geen enkel moment wordt gevalideerd door de de Random Reader (middels de code).
Dit is in mindere of meerdere mate analoog aan de situatie met TAN codes. Alles wat in het SMS'je staat is op zicht te valideren en alles wat er niet in staat in tamperbaar. Het grote verschil is echter dat de integriteit van het SMS-kanaal steeds meer ter discussie komt te staan.
Overigens zet ING alleen het totaalbedrag in de SMS, dus de rekeningnummers zijn net zo goed tamperbaar als bij Rabo/ABN. En bij Rabo/ABN is het in theorie wel mogelijk dit veilig te valideren (invoeren rekeningnummers in Reader) en bij de ING niet echt (onveiligheid SMS). Bovendien zit je met het SMS gebeuren nog met privacy issues: http://jult.net/entry/655/TAN-codes_per_SMS_onveilig.
In principe is het zo, dat alles wat je in de Random Reader / E-Dentifier typt niet te tamperen is, omdat je dan simpelweg een foutieve code krijgt aangeleverd. En alles wat wat je niet in dat apparaatje typt is in theorie te tamperen, omdat dit op geen enkel moment wordt gevalideerd door de de Random Reader (middels de code).
Dit is in mindere of meerdere mate analoog aan de situatie met TAN codes. Alles wat in het SMS'je staat is op zicht te valideren en alles wat er niet in staat in tamperbaar. Het grote verschil is echter dat de integriteit van het SMS-kanaal steeds meer ter discussie komt te staan.
Overigens zet ING alleen het totaalbedrag in de SMS, dus de rekeningnummers zijn net zo goed tamperbaar als bij Rabo/ABN. En bij Rabo/ABN is het in theorie wel mogelijk dit veilig te valideren (invoeren rekeningnummers in Reader) en bij de ING niet echt (onveiligheid SMS). Bovendien zit je met het SMS gebeuren nog met privacy issues: http://jult.net/entry/655/TAN-codes_per_SMS_onveilig.
Dat verhaal op die link is nogal ondoordacht. Het is juist wel nodig om het bedrag in het sms'je te vermelden omdat dat nou juist zorgt dat het wat veiliger is. Doordat je EN een volgnummer EN een bedrag hebt kun je ook verifiëren of beide zaken overeenkomen met wat jij op het scherm hebt staan. Zo kun je verifiëren dat je toegestuurde TAN-code correct is. Op moment dat je het bedrag weg laat en alleen met vervolgnummer en TAN-code gaat werken heb je al minder middelen om te vergelijken of het correct is of niet. Verder zijn zowel vervolgnummer als bedrag als TAN-code niet te herleiden naar een individu en een specifieke transactie. Het zijn losse nummers die verder weinig cohesie hebben. Als je zo'n sms'je zou ontvangen dan haal je er niet uit dat E. Jansen voor 39,95 een seksspeeltje bij Christine Le duc heeft gekocht. Je ziet alleen dat er wat codes naar een telefoonnummer gaan en dat er een bedrag van 39,95 wordt genoemd. Je hebt veel meer cruciale informatie nodig om er iets zinnigs over te kunnen zeggen.
Met de redenatie van jou en zoals op die link vermeldt staat is er altijd een privacy issue omdat er gegevens naar een telefoonnummer worden verstuurd. Dat is wel erg schromelijk overdreven.
Overigens zeuren mensen wel over die TAN-codes maar ondertussen zit je met een e-identifier/random reader/etc. met hetzelfde probleem. Je hebt zo'n ding altijd nodig en ze zijn vrijelijk te verkrijgen. Als iemand je dan beroofd hebben ze bij alle banken evenveel informatie/spullen van je. Het probleem is deze wijziging. Dankzij deze wijziging komen cruciale gegevens als username en password ook in het bezit. Men hoeft minder moeite te doen om daar aan te geraken. Andere banken doen dat (nog) niet dus die hebben op dit punt een zeer riant groot voordeel t.o.v. de ING.
Met de redenatie van jou en zoals op die link vermeldt staat is er altijd een privacy issue omdat er gegevens naar een telefoonnummer worden verstuurd. Dat is wel erg schromelijk overdreven.
Overigens zeuren mensen wel over die TAN-codes maar ondertussen zit je met een e-identifier/random reader/etc. met hetzelfde probleem. Je hebt zo'n ding altijd nodig en ze zijn vrijelijk te verkrijgen. Als iemand je dan beroofd hebben ze bij alle banken evenveel informatie/spullen van je. Het probleem is deze wijziging. Dankzij deze wijziging komen cruciale gegevens als username en password ook in het bezit. Men hoeft minder moeite te doen om daar aan te geraken. Andere banken doen dat (nog) niet dus die hebben op dit punt een zeer riant groot voordeel t.o.v. de ING.
ik zit bij de abn toen mijn batterij leeg was ben ik gewoon naar een abnkantoor gegaan en ik kreeg gewoon gratis een nieuwe mee tegen inlevering van de oude. alleen als je hem kwijt raakt moet je denk ik wel betalen maar das ook logisch
Bij de Rabobank krijg je zonder kosten een nieuwe als de batterij leeg is. Zit bij de kosten in en die bedragen bij mij €7,60 per kwartaal voor een lopende rekening, een spaarrekening en Rabo Interhelp.
En mijn pincode zit gewoon in mijn hoofd. Toen ik hem op papier kreeg heb ik die uit mijn hoofd geleerd en daarna het papiertje verbrand, dus mijn pincode is (behalve in de database van de bank) nergens fysiek meer vastgelegd.
En mijn pincode zit gewoon in mijn hoofd. Toen ik hem op papier kreeg heb ik die uit mijn hoofd geleerd en daarna het papiertje verbrand, dus mijn pincode is (behalve in de database van de bank) nergens fysiek meer vastgelegd.
[Reactie gewijzigd door Jaap-Jan op dinsdag 26 januari 2010 12:41]
De bank hoeft ook geen pincode te hebben. Slecht een hashcode van de pincode is genoeg.
en dat is volgens mij ook precies het enige wat ze bewaren. ( alhoewel het dan wel uitmaakt wat voor salt ze gebruiken, als ze zoiets als md5 zouden gebruiken zou je vrij snel de collisions kunnen detecteren, zoveel mogelijke combinaties bestaan er niet met pin)De bank hoeft ook geen pincode te hebben. Slecht een hashcode van de pincode is genoeg.
Ach, je hebt niets aan die 9.997 collisions aangezien je maar 3 kansen hebt om je pincode juist in te voeren.
De (oude) e.dentifier van de abn amro is zo goed als niet beveiligd (althans mij versie). Toen ik de overstap maakte van abn naar de rabobank heb ik voor de gein de behuizing eens geopend.
Toen ik de behuizing weer sloot (wel wat duct-tape nodig om de boel bij elkaar te houden) werkte de reader gewoon weer. Ook was alleen de chip een "zwarte blob", de programmeer pinnen waren gewoon zichtbaar en gelabeld
.
Toen ik de behuizing weer sloot (wel wat duct-tape nodig om de boel bij elkaar te houden) werkte de reader gewoon weer. Ook was alleen de chip een "zwarte blob", de programmeer pinnen waren gewoon zichtbaar en gelabeld
.offtopic:
als de random reader leeg is krijg je gratis een nieuwe
als de random reader leeg is krijg je gratis een nieuwe
Waartegen zou hij beveiligd moeten zijn dan? Tegen "chip inbouwen die je later kunt uitlezen"?
Ik zie geen reden om hem verder te beveiligen...
Ik zie geen reden om hem verder te beveiligen...
Vanwege deze wijziging zou ik vanaf de ING overstappen naar een andere bank, als ik daarbij gezeten zou hebben.
Bij de Rabobank krijg je de RandomReader trouwens gewoon gratis. Ik heb er thuis boven een op het bureau liggen. Toen ik vroeg of ik er nog een mocht hebben voor op het werk, kreeg ik die gratis mee. (Ik heb er daar ook een liggen, omdat er hier soms "nu of nooit"-aanbiedingen langskomen die maar 1 werkdag geldig zijn... er zou eens wat interessants tussen kunnen zitten)
Bij de Rabobank krijg je de RandomReader trouwens gewoon gratis. Ik heb er thuis boven een op het bureau liggen. Toen ik vroeg of ik er nog een mocht hebben voor op het werk, kreeg ik die gratis mee. (Ik heb er daar ook een liggen, omdat er hier soms "nu of nooit"-aanbiedingen langskomen die maar 1 werkdag geldig zijn... er zou eens wat interessants tussen kunnen zitten
)Maar als je deze dan omruilt krijg je tegenwoordig de e-dentifier2. Deze kan je zelf weer opladen via USB.
Als je aangeeft dat hij stuk is, krijg je hem zelfs gratis opgestuurd
Tja, en bij mij begint het display van die e-dentifier dus langzaam weg te vallen, totdat je ok-drukt, en dan heb je ongeveer de tijd om de helft van de code te lezen voor het scherm uit gaat.
In ieder geval vind ik inloggen (login-naam is automatisch gegenereerd en cryptisch zoals bij anderen met password gebeurd) en TAN-codes makkelijker, niet een pasje uit de portomonee, en een apparaatre uit de kast plukken en je kunt tenminste ook geld overmaken als je pasje defect (magneetstrip weggesleten) of zoek (gestolen) is.
Als een nieuwe username automatisch voorletter plus achternaam is, is dat natuurlijk niet zo handig.
In ieder geval vind ik inloggen (login-naam is automatisch gegenereerd en cryptisch zoals bij anderen met password gebeurd) en TAN-codes makkelijker, niet een pasje uit de portomonee, en een apparaatre uit de kast plukken en je kunt tenminste ook geld overmaken als je pasje defect (magneetstrip weggesleten) of zoek (gestolen) is.
Als een nieuwe username automatisch voorletter plus achternaam is, is dat natuurlijk niet zo handig.
Nou ja, een TAN is een single-use token. Dat betekent dus dat je het maar 1x kunt gebruiken. Dus een aanvaller kan het sniffen maar er daarna niets meer mee (zolang de tokens 'random' genoeg zijn en hij het volgende token dus NIET kan voorspellen).
Als het gelogd wordt heb je er weinig aan. Eigenlijk is een random reader (die op een tijdsbasis werkt, er is immers geen feedback tussen de server van de bank en je random reader) dan enger.
Ik zit oa bij de ING en de rabo bank trouwens.
Als het gelogd wordt heb je er weinig aan. Eigenlijk is een random reader (die op een tijdsbasis werkt, er is immers geen feedback tussen de server van de bank en je random reader) dan enger
.Ik zit oa bij de ING en de rabo bank trouwens.
Ik bedoelde het inloggen en bekijken van bankgegevens kon toch alleen met username en wachtwoord? Dat idee vond ik eng. Dus gewoon dat iemand alleen een wachtwoord en username (ik weet niet of ze zelf gekozen mogen worden, zo ja: ze zijn soms vrij voorspelbaar) hoeft in te voeren om al je bankgegevens te ZIEN (niet transacties toevoegen).
Het token idee is een zeer beproeft concept dat te boek staat als zeer veilig. Dit omdat het ook unieke codes zijn die elke minuut weer per pas veranderen. De enige manier om bij de token codes te komen is door gebruik te maken van je pinpas + pincode.
Mijn pincode vind je niet terug in mijn portomonee of in mijn huis (ligt ergens verbrand op de afvalhoop). Overigens RandomReader op bij de rabo = gratis een nieuwe... Ik heb er overigens 2 liggen, kreeg er laatst toen mn pinpas stuk was gratis 1 mee.
Simpel voorbeeld ING beroven:
Het stelen van een handtas (b.v. restaurant) van een vrouw levert ook vaak een portomonnee (pinpas = rekeningnummer, IDkaart = geboortedatum) en een mobiel op.
Even naar de WC, met je PDA het internet op, gegevens versturen et voila. Vervolgens handtas weer netjes terughangen.
Het token idee is een zeer beproeft concept dat te boek staat als zeer veilig. Dit omdat het ook unieke codes zijn die elke minuut weer per pas veranderen. De enige manier om bij de token codes te komen is door gebruik te maken van je pinpas + pincode.
Mijn pincode vind je niet terug in mijn portomonee of in mijn huis (ligt ergens verbrand op de afvalhoop). Overigens RandomReader op bij de rabo = gratis een nieuwe... Ik heb er overigens 2 liggen, kreeg er laatst toen mn pinpas stuk was gratis 1 mee.
Simpel voorbeeld ING beroven:
Het stelen van een handtas (b.v. restaurant) van een vrouw levert ook vaak een portomonnee (pinpas = rekeningnummer, IDkaart = geboortedatum) en een mobiel op.
Even naar de WC, met je PDA het internet op, gegevens versturen et voila. Vervolgens handtas weer netjes terughangen.
[Reactie gewijzigd door XiniX88 op dinsdag 26 januari 2010 13:16]
Ik had een keer een nieuwe Random Reader nodig en toen werd mij geadviseerd er gelijk een paar extra mee te nemen. Ze hadden gewoon een berg van die dingen liggen. Geen probleem.
Waar haal je dan de gebruikersnaam vandaan ?Simpel voorbeeld ING beroven:
Het stelen van een handtas (b.v. restaurant) van een vrouw levert ook vaak een portomonnee (pinpas = rekeningnummer, IDkaart = geboortedatum) en een mobiel op.
Even naar de WC, met je PDA het internet op, gegevens versturen et voila. Vervolgens handtas weer netjes terughangen.
Die gebruikersnaam volgt uit de aanname dat de gebruiker de door de ING voorgestelde gebruikersnaam heeft overgenomen.
En de ING stelt voor "voorletter" + "achternaam".
Dat zal in 80% of meer van de gevallen dus ook wel 123 goed te gokken zijn.
En de ING stelt voor "voorletter" + "achternaam".
Dat zal in 80% of meer van de gevallen dus ook wel 123 goed te gokken zijn.
Dat klopt niet helemaal. In dit artikel staat dat de gebruikersnaam inderdaad voorletter met achternaam in de meeste gevallen is. Maar zover ik weet krijg je een gebruikers met letters en cijfers door elkaar, dus bijv: di52km5i8. Dat raad je al een stuk minder makkelijk.
De beveiliging vind ik zelf ook twijfelachtig. Aangezien bij alle andere banken een pincode nodig is. Dat is tegenwoordig toch wel bijna het enige van mij waar niemand achter kan komen.(A)
@hamsteg: misschien moet je mijn reactie nog een keer opnieuw lezen.
De beveiliging vind ik zelf ook twijfelachtig. Aangezien bij alle andere banken een pincode nodig is. Dat is tegenwoordig toch wel bijna het enige van mij waar niemand achter kan komen.(A)
@hamsteg: misschien moet je mijn reactie nog een keer opnieuw lezen.
[Reactie gewijzigd door Civilian321 op woensdag 27 januari 2010 12:26]
Huh, is dit omgekeerde wereld?
Dus het raden van: di52km5i8 is makkelijker als: 1234 ?
Een goede gebruikersnaam is een wachtwoord op zich. Gecombineerd met nog een echt wachtwoord dan zou je zelfs kunnen beargumenteren dat de random reader onveiliger is want als invoer is er altijd een constante (het pasnummer) en een kleine pincode (ik weet het, de pasnummer en rekeningnummer worden ge-time-hased). De cross-check middels TAN gedraagt zich dan als een derde wachtwoord.
Beide systemen hebben hun sterke en zwakke punten. We maken ons echter druk om compleet de verkeerde dingen. Hoevaak is effectief geld van de rekening gehaald door het raden en kraken van gegevens? Antwoord: 0 !
De problemen, diefstallen, die worden toegepast hebben bijna allemaal een relatie met betalingen aan kassa's; een paar fishing websites hebben hier en daar ook eenmalig wat gescored maar dit komt door de slordigheid van de gebruiker en niet van het beveiligingssyteem. De kassa problematiek is tegenwoording vaak het Skimmen maar nog net zo vaak het eenvoudig kunnen verkrijgen van de pincode (opschrijven, niet afschermen in een rij) en het stelen van een pas.
Dit artikel is belangrijke feedback naar de techneuten en experts bij ING maar voor ons als eindgebruikers zo klein dat je je beter druk kunt maken over het oversteken van de weg.
Dus het raden van: di52km5i8 is makkelijker als: 1234 ?
Een goede gebruikersnaam is een wachtwoord op zich. Gecombineerd met nog een echt wachtwoord dan zou je zelfs kunnen beargumenteren dat de random reader onveiliger is want als invoer is er altijd een constante (het pasnummer) en een kleine pincode (ik weet het, de pasnummer en rekeningnummer worden ge-time-hased). De cross-check middels TAN gedraagt zich dan als een derde wachtwoord.
Beide systemen hebben hun sterke en zwakke punten. We maken ons echter druk om compleet de verkeerde dingen. Hoevaak is effectief geld van de rekening gehaald door het raden en kraken van gegevens? Antwoord: 0 !
De problemen, diefstallen, die worden toegepast hebben bijna allemaal een relatie met betalingen aan kassa's; een paar fishing websites hebben hier en daar ook eenmalig wat gescored maar dit komt door de slordigheid van de gebruiker en niet van het beveiligingssyteem. De kassa problematiek is tegenwoording vaak het Skimmen maar nog net zo vaak het eenvoudig kunnen verkrijgen van de pincode (opschrijven, niet afschermen in een rij) en het stelen van een pas.
Dit artikel is belangrijke feedback naar de techneuten en experts bij ING maar voor ons als eindgebruikers zo klein dat je je beter druk kunt maken over het oversteken van de weg.
Er is wel feedback tussen je reader en de bank, je moet eerste een code invoeren in de reader (krijg je van de website) voordat je een access token terug krijgt.
Tenzij de aanvaller al toegang heeft tot je PC (virus,trojan,hacken) dan denk jij dat je 100 euro overmaakt naar tante sjaan terwijl de aanvaller met gemak de invoervelden van internet explorer kan veranderen naar: 2000 euro en een rekening nummer in *verwegistan*.
Er zullen genoeg hackers en virusmakers zijn die hier wel brood in zien, zolang er maar makkelijk geld te verdienen is.
En dat zonder dat je het doorhebt, totdat je het bankafschrift bekijkt.
Bij de rabobank heb je de extra veiligheid dat je niet zonder pinpas en reader kunt inloggen of overboeken, en dat bij het overmaken van hoge bedragen het bedrag ter controle ook ingevuld moet worden op de random reader.
Of moet er eerst grootschalig misbruik van gemaakt worden?
Las net de reactie van PPie en vind dit een veel veiligere methode.
@Azzmodan:
Je hebt gelijk het bedrag kun je niet zomaar zonder dat het opvalt aanpassen.
Wat wel mogelijk is om een virus te maken wat in IE het rekening nummer bij het overschrijven veranderd, en daarna in het rekeningoverzicht ook het rekening nummer veranderd.
Is eigenlijk heel simpel kwestie van een paar regels html code vervangen.
Helemaal als je geen papieren afschriften hebt kom je hier pas achter als tante sjaan, of bv een koper van marktplaats klaagt dat hij het geld nog steeds niet heeft ontvangen.
Ik denk dat onder andere jongeren hier kwetsbaar voor zijn, geboorte datum is met paar klikken op hyves te vinden. En 80% van de jongeren klikt zonder twijfel bij alle vensters op ja en accepteren omdat ze geen zin hebben om het te lezen en klikken op alles wat via MSN binnenkomt waardoor de PC vaak binnen no-time vol staat met virussen, trojans en malware.
En vaak moeten de ouders ook op de familie PC hun bankzaken regelen.
Heb het vaak genoeg ook meegemaakt dat goedgelovige mensen mij vragen hoe ze die 100 dollar voor hun XP antivirus 2009 moeten betalen
Er zullen genoeg hackers en virusmakers zijn die hier wel brood in zien, zolang er maar makkelijk geld te verdienen is.
En dat zonder dat je het doorhebt, totdat je het bankafschrift bekijkt.
Bij de rabobank heb je de extra veiligheid dat je niet zonder pinpas en reader kunt inloggen of overboeken, en dat bij het overmaken van hoge bedragen het bedrag ter controle ook ingevuld moet worden op de random reader.
Het wordt tijd dat de ING ook met de tijd meegaat.Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens.
Of moet er eerst grootschalig misbruik van gemaakt worden?
Las net de reactie van PPie en vind dit een veel veiligere methode.
@Azzmodan:
Je hebt gelijk het bedrag kun je niet zomaar zonder dat het opvalt aanpassen.
Wat wel mogelijk is om een virus te maken wat in IE het rekening nummer bij het overschrijven veranderd, en daarna in het rekeningoverzicht ook het rekening nummer veranderd.
Is eigenlijk heel simpel kwestie van een paar regels html code vervangen.
Helemaal als je geen papieren afschriften hebt kom je hier pas achter als tante sjaan, of bv een koper van marktplaats klaagt dat hij het geld nog steeds niet heeft ontvangen.
Ik denk dat onder andere jongeren hier kwetsbaar voor zijn, geboorte datum is met paar klikken op hyves te vinden. En 80% van de jongeren klikt zonder twijfel bij alle vensters op ja en accepteren omdat ze geen zin hebben om het te lezen en klikken op alles wat via MSN binnenkomt waardoor de PC vaak binnen no-time vol staat met virussen, trojans en malware.
En vaak moeten de ouders ook op de familie PC hun bankzaken regelen.
Heb het vaak genoeg ook meegemaakt dat goedgelovige mensen mij vragen hoe ze die 100 dollar voor hun XP antivirus 2009 moeten betalen
[Reactie gewijzigd door redstorm op dinsdag 26 januari 2010 13:25]
"En dat zonder dat je het doorhebt, totdat je het bankafschrift bekijkt"
Dat kan niet bij de ING, op het moment dat je namelijk de betaling moet bevestigen krijg je een SMS met daarop het bedrag en de code als daar ineens een bedrag van 2020 of 2000 euro staat in plaats van 20 weet je dat er wat mis is.
Dat kan niet bij de ING, op het moment dat je namelijk de betaling moet bevestigen krijg je een SMS met daarop het bedrag en de code als daar ineens een bedrag van 2020 of 2000 euro staat in plaats van 20 weet je dat er wat mis is.
Bij elke betalingsopdracht die hoger is dan (ik dacht) E1000 of E500 moet je (bij de rabobank) als controle getal ook een keer het totale bedrag invullen. Op dat moment zie je heel duidelijk dat je 2000 gaat overmaken ipv 20.
Probleem van de tan codes is dat er een heleboel phishing mails (Of trojans) vragen om een aantal codes in te vullen 'om in te loggen'.
Tevens is een probleem natuurlijk dat iedereen die kan aflezen van het papier.
Als je een reader hebt, moet je je pincode intoetsen...
Tevens is een probleem natuurlijk dat iedereen die kan aflezen van het papier.
Als je een reader hebt, moet je je pincode intoetsen...
Dat probleem bestaat alleen met de papieren lijsten, en niet met de sms versie.
Dit is al bij het programma kassa. En daar is een uitgebreid onderzoek naar geweest.
Dit is al bij het programma kassa. En daar is een uitgebreid onderzoek naar geweest.
Maar moet je je pincode intoetsen voor je telefoon?
Weer het voorbeeld van een kastje in het zwembad, je krijgt dus je username, wachtwoord en je tan codes op de telefoon, die je samen met je identificatiebewijs (Met je geboortedatum!) die iedereen verplicht bij zich heeft, in 1 kastje opbergt als je gaat zwemmen en dus enige tijd niet terug komt!
Weer het voorbeeld van een kastje in het zwembad, je krijgt dus je username, wachtwoord en je tan codes op de telefoon, die je samen met je identificatiebewijs (Met je geboortedatum!) die iedereen verplicht bij zich heeft, in 1 kastje opbergt als je gaat zwemmen en dus enige tijd niet terug komt!
Telefoon kan ook een pincode hebben, dus wanneer de telefoon word aangezet (als je je telefoon in een locker hebt liggen zet je hem uit, niet?) vraagt deze om een pincode...
Overigens vind ik het ook nog steeds een veiliger idee om mijn nieuwe wachtwoord (bij kwijtraken) op te halen bij het postkantoor...
Overigens vind ik het ook nog steeds een veiliger idee om mijn nieuwe wachtwoord (bij kwijtraken) op te halen bij het postkantoor...
[Reactie gewijzigd door -Sander1981- op woensdag 27 januari 2010 14:18]
Ook de RABO is lek.
Grote probleem is dat het risico bij de klant ligt en niet bij de bank. Dus de bank interesseert het niet, tis niet hun geld Wat verdwijnt.
Om op de RABO terug te komen. Het lijkt veiliger maar is het niet. Als je van je pas beroofd word kan de dief je dwingen de pincode te geven. Door de calculator die je bij elke rabobank kan halen kan hij/.zij direct controleren of de pin OK is. Zo niet krijg je klapjes zo ja heeft de dief direct toegang tot je gehele rekening via de automaat en via internet.
Grote probleem is dat het risico bij de klant ligt en niet bij de bank. Dus de bank interesseert het niet, tis niet hun geld Wat verdwijnt.
Om op de RABO terug te komen. Het lijkt veiliger maar is het niet. Als je van je pas beroofd word kan de dief je dwingen de pincode te geven. Door de calculator die je bij elke rabobank kan halen kan hij/.zij direct controleren of de pin OK is. Zo niet krijg je klapjes zo ja heeft de dief direct toegang tot je gehele rekening via de automaat en via internet.
Dat kan met de ING ook, in ieder geval met een random geldautomaat in de buurt. Zo kan je elk systeem wel lek noemen, je gezondheid is op een gegeven moment natuurlijk meer waard dan wat er op je bankrekening staat.
Verder vergeet je nog een belangrijk aspect: als je op straat beroofd wordt en onder dwang je pincode af moet staan heb je natuurlijk maar een paar minuten nodig om het zaakje te laten blokkeren. Met de ING kan een naaste (je verwacht het niet maar het gebeurt echt wel hoor) met je gebruikersnaam (gezien op het scherm), geboortedatum (weet je als naaste hopelijk) en telefoon (die je in huis niet speciaal in een kluis legt) je rekening plunderen zonder dat jij van iets weet.
Verder vergeet je nog een belangrijk aspect: als je op straat beroofd wordt en onder dwang je pincode af moet staan heb je natuurlijk maar een paar minuten nodig om het zaakje te laten blokkeren. Met de ING kan een naaste (je verwacht het niet maar het gebeurt echt wel hoor) met je gebruikersnaam (gezien op het scherm), geboortedatum (weet je als naaste hopelijk) en telefoon (die je in huis niet speciaal in een kluis legt) je rekening plunderen zonder dat jij van iets weet.
Denk ff goed naDat kan met de ING ook, in ieder geval met een random geldautomaat in de buurt.
Iemand die je beroofd gaat je echt niet nog eens ff naar een pinautomaat sleuren of eerst richting pinautomaat om dan weer naar je terug te gaan als de code niet klopt. Bij een beroving gaat het om zo snel mogelijk spul buit te maken. Dat gaat handiger met zo'n kastje dan wanneer je naar de dichtstbijzijnde pinautomaat moet.Helaas vergeet jij hier een nog veel veel belangrijker aspect: realiteitszin. Iemand die beroofd wordt is dermate in shock dat ie niet zo helder is om te bedenken dat ie dat 24/7 nummer moet bellen wat op de site van de bank staat. Brengt me bij het volgende probleem: je moet een speciaal nummer bellen omdat berovingen nou eenmaal lang niet altijd bij een pinautomaat tijdens kantooruren in de nabijheid van een kantoor van de bank plaats vinden. Daarom wordt ook vaak geadviseerd om zulke nummers in je telefoon te zetten. Maar ja..bel ze maar eens als je telefoon inclusief de rest gejat isVerder vergeet je nog een belangrijk aspect: als je op straat beroofd wordt en onder dwang je pincode af moet staan heb je natuurlijk maar een paar minuten nodig om het zaakje te laten blokkeren.
Leuke reactie maar je bekijkt de zaak wel ontzettend simplistisch en daardoor ook zeer onrealistisch. Dingen als aangifte, blokkeren van de nodige zaken, etc. zijn absoluut niet zaken die je eventjes in een paar minuten doet. Het kan maar het gebeurd in de praktijk gewoon niet. Realiteitszin is wat hier derhalve dan ook volledig zoek is.
En wat, van die aanpak, is specifiek een 'lek van de Rabobank'? 
Want die aanpak werkt bij élke bank hoor. Als je geen calculator bij zo'n bank hebt, loop je gewoon naar een pinautomaat en check je de pincode daar. Heeft dus helemaal niets met de Rabo uit te staan. De beveiliging van de Rabo is zeker beter dan dit nieuwe voorstel van de ING.
Want die aanpak werkt bij élke bank hoor. Als je geen calculator bij zo'n bank hebt, loop je gewoon naar een pinautomaat en check je de pincode daar. Heeft dus helemaal niets met de Rabo uit te staan. De beveiliging van de Rabo is zeker beter dan dit nieuwe voorstel van de ING.Hetzelfde probeer ik al 2x te zeggen. Bij de rabobank log ik in op dezelfde manier als bij een betaalautomaat. Als men mijn pincode heeft, kan men dus ook mijn rekening plunderen bij zowel een betaalautomaat als via de PC.
Pinpas + PINCODE heb je dus altijd nodig, er is nog geen andere manier bij de Rabobank bekend om geld afhandig te maken (behalve zojuist genoemde trojan die inderdaad als je geld wilde afschrijven het afschreef naar een heel ander banknummer. Maar deze truuk geld overal).
Bij de ING kun je met je PAS pinnen met Pincode + PAS maar ook met telefoon + rekeningnummer + geboortedatum (laat je geboortedatum nu net in je paspoort staan, je rekeningnummer op je pas en je telefoon vaak in dezelfde broek zitten). Hierbij kan de beveiliging dus op 2 manieren stuk.... En een zakkerollertje heeft al alle ingredienten om je rekening te plunderen.
Pinpas + PINCODE heb je dus altijd nodig, er is nog geen andere manier bij de Rabobank bekend om geld afhandig te maken (behalve zojuist genoemde trojan die inderdaad als je geld wilde afschrijven het afschreef naar een heel ander banknummer. Maar deze truuk geld overal).
Bij de ING kun je met je PAS pinnen met Pincode + PAS maar ook met telefoon + rekeningnummer + geboortedatum (laat je geboortedatum nu net in je paspoort staan, je rekeningnummer op je pas en je telefoon vaak in dezelfde broek zitten). Hierbij kan de beveiliging dus op 2 manieren stuk.... En een zakkerollertje heeft al alle ingredienten om je rekening te plunderen.
Gelijk, maar iemand onder dwang zijn pincode afhandig maken bij een automaat is stukken lastiger dan in een stil steegje met de calculator
En toch is dat vaker gebeurd.
En als iemand je telefoon steelt kan hij je ook dwingen om je gebruikersnaam + wachtwoord te geven, dus dat maakt geen verschil.
Als het onder dwang gebeurd, zijn ze beide net zo (on)veilig. Anders is rabobank IMHO veiliger, als je je bankpas kwijt bent, laat je hem meteen blokkeren, als je je telefoon kwijt bent, denk je er niet meteen aan dat anderen zo de gegevens van jouw ING rekening kunnen wijzigen en de codes opvragen.
Als het onder dwang gebeurd, zijn ze beide net zo (on)veilig. Anders is rabobank IMHO veiliger, als je je bankpas kwijt bent, laat je hem meteen blokkeren, als je je telefoon kwijt bent, denk je er niet meteen aan dat anderen zo de gegevens van jouw ING rekening kunnen wijzigen en de codes opvragen.
Ja hoor, en een dief stopt even rustig die pinpas in een Random Reader om thuis achter zijn pc rustig geld over te maken naar zijn eigen bankrekening.
Denk na, die plundert dan gewoon de bankrekening door het geld op te nemen bij de automaat.
Een dief die zo slim is om een telefoon en pinpas te jatten, is van een heel andere categorie dan de straatrover.
Denk na, die plundert dan gewoon de bankrekening door het geld op te nemen bij de automaat.
Een dief die zo slim is om een telefoon en pinpas te jatten, is van een heel andere categorie dan de straatrover.
Ehm, nee. Een dief die een pas-pin combinatie heeft gaat niet even naar een betaalautomaat in Nederland om geld op te nemen want de kans is veel te groot dat z'n gezicht in de volgende Opsporing Verzocht verschijnt.
Wat'ie doet is: Hij scant de magneetstripinfo van de pas, stuurt die met de pin als atachment van een emailtje naar z'n vriendje in Rusland en laat daar in siberisch dorp x de lokale geldautomaat flapjes uitspugen. Daarna krijgt hij z'n aandeel via Western Union keurig contant uitbetaald.
Wat'ie doet is: Hij scant de magneetstripinfo van de pas, stuurt die met de pin als atachment van een emailtje naar z'n vriendje in Rusland en laat daar in siberisch dorp x de lokale geldautomaat flapjes uitspugen. Daarna krijgt hij z'n aandeel via Western Union keurig contant uitbetaald.
Bivakmuts? Ander persoon onder dwang geld laten opnemen? Tape over de camera?
Beetje creativiteit he...
Maargoed het gaat inderdaad vaak zoals je zegt, als je de pincode hebt en de pas kunt skimmen dan wordt er 1..2..3 een nieuwe pas gekopieerd om in het buitenland geld mee op te nemen (bijvoorbeeld bij mijn broer gebeurd, ineens 3000 euro opgenomen in bulgarije nadat zijn pas geskimmed was bij een NS betaalautomaat).
Beetje creativiteit he...
Maargoed het gaat inderdaad vaak zoals je zegt, als je de pincode hebt en de pas kunt skimmen dan wordt er 1..2..3 een nieuwe pas gekopieerd om in het buitenland geld mee op te nemen (bijvoorbeeld bij mijn broer gebeurd, ineens 3000 euro opgenomen in bulgarije nadat zijn pas geskimmed was bij een NS betaalautomaat).
Ehh. met overstorting is een veel hoger bedrag mogelijk dan met opname. En praktisch onmogelijk terug te krijgen.
Onzin. als jij kan aantonen dat jij he tgeld niet hebt overgemaakt, en/of het is naar een rekening gegaan waar jij nooit mee hebt gehandeld is de kans heel groot dat ze je de cash terug geven. Mijn online banking is al een keer gehacked (maakte gebruik van een internet terminal ,tja, stom...) en kreeg na 2 weken (en wat papierhandel) netjes mijn cash terug.
Een andere keer in het buitenland vond een pin automaat het leuk om WEL 1000 piek af te schrijven, maar vervolgens crashte het ding en kreeg ik nooit de cash. Ze deden een natelling bij de pinautomaat en ook daar was geen discrepantie. TOCH geld terug gekregen van ABN AMRO...
Een andere keer in het buitenland vond een pin automaat het leuk om WEL 1000 piek af te schrijven, maar vervolgens crashte het ding en kreeg ik nooit de cash. Ze deden een natelling bij de pinautomaat en ook daar was geen discrepantie. TOCH geld terug gekregen van ABN AMRO...
[Reactie gewijzigd door Webdoc op dinsdag 26 januari 2010 13:33]
Helaas zijn er ontzettend veel verhalen waaruit het tegendeel blijkt. Er zijn heel veel mensen waarbij de bank keihard weigert omdat het volgens hun niet hard genoeg is aangetoond. Die situatie was vroeger dermate erg dat er gewoon geen enkele bank was die je geld teruggaf. Die situatie is de laatste jaren sterk veranderd maar er zijn nog altijd uitzonderingen. Het is dan ook geen garantie en men zal zich moeten realiseren dat er het nodige geknokt moet worden om hun geld terug te krijgen. Verhalen als die van jou laten zien dat ze het wel kunnen die banken, ze moeten er alleen eens een keer consistent in worden.
De TAN is pas nodig als je overboekingen gaat doen.Waarschijnlijk een stuk goedkoper zo dan al dat papierwerk via het postkantoor. Ik vind dat hele TAN code gebeuren sowieso al een raar gedoe, installeer een keylogger op een PC en je hebt inloggegevens waarmee je leuk alle betalingsverkeer kan inzien (daarvoor had je toch geen TAN nodig?).
Ik vind het vele malen erger als iemand mijn geld kan wegboeken dan dat iemand mbv een keylogger door mijn afschriften bladert...
Dus die TAN vind ik best zinvol!
En het ergste is nog wel dat ze dit als een verbetering van de service weten te verkopen 
Ik ga zeker geen internetbankieren nemen van ING
Ik ga zeker geen internetbankieren nemen van ING
"Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. ."
Nee echt, dit kan niet
Eerst die problemen met dat Mijn Postbank het steeds niet deed en nu dit?
Hebben ze eindelijk EV om phissing tegen te gaan zetten ze de deur alsnog op!
Dat is net zo iet als: een stalen duur met lazer beveiliging, maar 2 cijferige pincode..
Serieus als dit erdoor heen gaat komen ga ik met bij de ING
Ik heb de voormalige Postbank als particulier en ING zelf voor me zakelijke rekening, maar als dit er ook komt voor de zakelijke klanten vrees ik het ergste.
Nee echt, dit kan niet
Eerst die problemen met dat Mijn Postbank het steeds niet deed en nu dit?
Hebben ze eindelijk EV om phissing tegen te gaan zetten ze de deur alsnog op!
Dat is net zo iet als: een stalen duur met lazer beveiliging, maar 2 cijferige pincode..
Serieus als dit erdoor heen gaat komen ga ik met bij de ING
Ik heb de voormalige Postbank als particulier en ING zelf voor me zakelijke rekening, maar als dit er ook komt voor de zakelijke klanten vrees ik het ergste.
Ik vind het zelf erg prettig werken om een SMS te krijgen met de code, mijn mobiel heb ik tenslotte altijd bij me terwijl een gizmo zoals bij de ABN niet altijd bij mij is.
Het SMSen van de login vind ik wel weer erg knullig, ik snap dat de gebruikersvriendelijkheid nu niet zo hoog is maar dan kunnen ze nog beter een brief sturen dan het sturen naar het apparaat dat je ook nodig heb om de betaling te bevestigen.
Het SMSen van de login vind ik wel weer erg knullig, ik snap dat de gebruikersvriendelijkheid nu niet zo hoog is maar dan kunnen ze nog beter een brief sturen dan het sturen naar het apparaat dat je ook nodig heb om de betaling te bevestigen.
Vroeger was het zo dat je gebruikersnaam kreeg, en daarna per aangetekende post je wachtwoord.
Toen hebben ze het veranderd dat je naar het postkantoor moest komen.
Als je het wachtwoord per aangetekende post verstuurt met identificatie plicht zoals dat nu wordt gebruikt als je bij Hi! online een mobieltje besteld dan is dat ook prima beveiligd.
En als je het helemaal veilig wilt hebben stuur je ook nog een aparte brief met activatiecode code om je nieuwe wachtwoord actief te maken.
OT: Ik roep iedereen op die hier tegen is een bericht Trosradar of Kassa te sturen!
Toen hebben ze het veranderd dat je naar het postkantoor moest komen.
Als je het wachtwoord per aangetekende post verstuurt met identificatie plicht zoals dat nu wordt gebruikt als je bij Hi! online een mobieltje besteld dan is dat ook prima beveiligd.
En als je het helemaal veilig wilt hebben stuur je ook nog een aparte brief met activatiecode code om je nieuwe wachtwoord actief te maken.
OT: Ik roep iedereen op die hier tegen is een bericht Trosradar of Kassa te sturen!
Beide via post, wel aparte brieven, met enkele dagen verschil, maar niets aangetekend volgens mij. Wel dacht ik nog een éénmalige activatiecode, ook weer per niet aangetekende brief. Alles ontvangen binnen 2 of 3 dagen achter elkaar.Vroeger was het zo dat je gebruikersnaam kreeg, en daarna per aangetekende post je wachtwoord.
Postkantoor lijkt beter, maar is opgeheven, dus ook geen optie meer.
Ja, een nog al heel erg naieve reactie, niet te geloven
Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens.
- heb je dan boter op je hoofd ofzo? Het is toch duidelijk dat criminelen zwakke plekken opzoeken? Nu creëer je een zwakke plek.
- heb je dan boter op je hoofd ofzo? Het is toch duidelijk dat criminelen zwakke plekken opzoeken? Nu creëer je een zwakke plek.
Dit klinkt inderdaad een stuk makkelijker dan skimmen
Eigenlijk staat daar dus: "Het bedrijf wordt bestuurd door een stel koeien!"
Ongelooflijk dit. Natuurlijk gaat er fraude gepleegd worden.
Ongelooflijk dit. Natuurlijk gaat er fraude gepleegd worden.
Koeien? Ik denk dat de ING een vrij accurate risicoanalyse kan maken. Ik denk ook dat de ING dat wel gedaan heeft, maar mocht daaruit blijken dat het nieuwe systeem fraudegevoeliger is, dan is het vrij gebruikelijk om in je communicatie vol te houden dat je de beveiliging van het betaalverkeer hoog in het vaandel hebt staan. Dat kost je een handjevol wantrouwende tweakers, maar voorkomt dat diezelfde avond in het achtuurjournaal een bankmedewerker wordt geciteerd: "Klanten zullen door deze regeling inderdaad veelvuldiger gedupeerd worden, maar daar staat tegenover dat wij meer centjes binnenharken." Verwar een doorzichtige bewering niet met stupiditeit.
achja zie je maar weer dat sommige mensen niet simpel kunnen denken want dat zijn ze te moeilijk met het beveiligen tege kraken en laten ze een zwakke plek bij de basis.
want dat zijn ze te moeilijk met het beveiligen tege kraken en laten ze een zwakke plek bij de basis.Kan me voorstellen dat Klanten bezorgt zijn over deze manier van gegevens opvragen. Stel je voor dat je per ongeluk je mobiele nummer verkeerd hebt ingesteld, dan krijgt iemand anders jouw inloggegevens als je ze op vraagt. Daarnaast heeft (misschien) niet iedereen een mobiel (mijn moeder bijvoorbeeld). Is het dan wel mogelijk om alsnog via post je gegevens op te vragen? Maar goed, we zullen zien hoe dit verloopt.
Edit: Oke, verhaal hierboven is misschien niet helemaal logisch. Maar het kan natuurlijk zijn dat je het instelt, vervolgens een nieuw abonnement met ander nummer neemt. Ander nummer wordt aan iemand anders uitgedeeld. Vraag het dan op en een ander kan jouw gegevens krijgen. Is misschien nog steeds erg onlogisch en zal (bijna) nooit voorkomen, maar de kans is er. Daarnaast, hoe vaak wordt een mobieltje verloren. Meestal zijn de SMS gegevens vrij toegankelijk als je zo'n mobieltje vindt.
Het hele idee om het per sms te doen i.p.v persoonlijk op halen d.m.v identificatie bij de bank/postkantoor is toch redelijk beangstigend. Snap dat veel mensen het onveilig gevoel vinden dat het maar gewoon per sms wordt verzonden, stuk toegankelijker voor anderen dan persoonlijk ophalen! Hoop dat dit mijn idee hierover iets meer verduidelijkt
Edit: Oke, verhaal hierboven is misschien niet helemaal logisch. Maar het kan natuurlijk zijn dat je het instelt, vervolgens een nieuw abonnement met ander nummer neemt. Ander nummer wordt aan iemand anders uitgedeeld. Vraag het dan op en een ander kan jouw gegevens krijgen. Is misschien nog steeds erg onlogisch en zal (bijna) nooit voorkomen, maar de kans is er. Daarnaast, hoe vaak wordt een mobieltje verloren. Meestal zijn de SMS gegevens vrij toegankelijk als je zo'n mobieltje vindt.
Het hele idee om het per sms te doen i.p.v persoonlijk op halen d.m.v identificatie bij de bank/postkantoor is toch redelijk beangstigend. Snap dat veel mensen het onveilig gevoel vinden dat het maar gewoon per sms wordt verzonden, stuk toegankelijker voor anderen dan persoonlijk ophalen! Hoop dat dit mijn idee hierover iets meer verduidelijkt
[Reactie gewijzigd door NL-RaVeR op dinsdag 26 januari 2010 14:48]
Daarvoor heb je nog een pasnummer en een geboortedatum nodig.Kan me voorstellen dat Klanten bezorgt zijn over deze manier van gegevens opvragen. Stel je voor dat je per ongeluk je mobiele nummer verkeerd hebt ingesteld, dan krijgt iemand anders jouw inloggegevens als je ze op vraagt.
Je kunt dat niet "zomaar" verkeerd instellen. Je hebt controle over dat nummer nodig om het überhaupt in te kunnen stellen (ik dacht dat ze een smsje stuurde met een verificatiecode die je weer in moet vullen. Op het moment dat je een verkeerd nummer opgeeft zul je het smsje nooit lezen en dus kun je dat nummer ook niet activeren)Stel je voor dat je per ongeluk je mobiele nummer verkeerd hebt ingesteld, dan krijgt iemand anders jouw inloggegevens als je ze op vraagt.
@BoZ_:
Zijn punt was dat als jij een verkeerd nummer instelt en dan een nieuw wachtwoord aanvraagt (even de onrealistische samenloop van omstandigheden daargelaten) met jouw eigen geboorte-datum en pincode, iemand anders je logingegevens ontvangt op zijn/haar telefoon.Daarvoor heb je nog een pasnummer en een geboortedatum nodig.
Je moet je nummer nog natuurlijk bevestigen hč slimpie
Ik mag hopen dat ING zich op tijd bedenkt. Anders zou dit voor mij een reden zijn om over te stappen naar een andere bank. Vindt het sowieso apart dat ING voor haar niet voorheen Postbank klanten gebruik blijft maken van een calculator (token)
Dit wordt tenslote door na mijn weten alle banken gebruikt alleen niet voor de ex Postbank klanten.
Persoonlijk vind ik het een voordeel om in te loggen zonder "kastje van de bank" maar verwacht dan wel dat zij er alles aan doen om dit zo veilig mogelijk te maken.
Ben heel benieuwd hoe ING op de reacties gaat reageren zal slecht zijn voor hun imago....
Dit wordt tenslote door na mijn weten alle banken gebruikt alleen niet voor de ex Postbank klanten.
Persoonlijk vind ik het een voordeel om in te loggen zonder "kastje van de bank" maar verwacht dan wel dat zij er alles aan doen om dit zo veilig mogelijk te maken.
Ben heel benieuwd hoe ING op de reacties gaat reageren zal slecht zijn voor hun imago....
Ben heel blij dat ING geen gebruik maakt van een token, anders moet je dat ding ook weer overal mee naar toe nemen en heb je altijd je bankpas nodig bij je pc. Ik vind het huidige systeem erg handig.
De nieuwe maatregelen zijn inderdaad onveilig. Als je nu beroofd wordt van zowel je beurs als je telefoon (wat meestal het geval is bij een beroving) dan hebben ze dus ook meteen volledige controle over je bankrekening.
Ik begrijp ook helemaal niet waar dit voor nodig is. Die loginnaam hoef je maar eenmalig af te halen. Zolang je 'm niet vernaggelt door 3x foutief in te loggen hoef je nooit meer naar het bankkantoor, dus waar hebben we het over?
De nieuwe maatregelen zijn inderdaad onveilig. Als je nu beroofd wordt van zowel je beurs als je telefoon (wat meestal het geval is bij een beroving) dan hebben ze dus ook meteen volledige controle over je bankrekening.
Ik begrijp ook helemaal niet waar dit voor nodig is. Die loginnaam hoef je maar eenmalig af te halen. Zolang je 'm niet vernaggelt door 3x foutief in te loggen hoef je nooit meer naar het bankkantoor, dus waar hebben we het over?
Idd, of dat je als klant op z'n minst het wachtwoord-per-sms gewoon uit kan zetten zodat jij, maar vooral iemand anders, nooit het wachtwoord per sms op kan vragen. Nou ben ik potentieel de dupe van die dorks die niet gewoon hun wachtwoord kunnen onthouden.Ik mag hopen dat ING zich op tijd bedenkt.
Anyway, ik stel voor dat iedere ING klant die zich hierin niet kan vinden dat kenbaar maakt via https://www.ing.nl/partic...-een-vraag-of-klacht.aspx (werkt helaas alleen in IE en FF
)[Reactie gewijzigd door .oisyn op dinsdag 26 januari 2010 15:20]
Net maar even onderstaand stukje proza in de klachtenmolen geplempt. Hiervoor moest ik wel even IE opstarten aangezien ING Chrome niet accepteert.
Met grote verbazing en huivering heb ik kennis genomen van de
aankomende veranderingen in de werkwijze van het internetbankieren.
Door deze wijziging wordt ik genoodzaakt mijn bankpas,
identiteitsbewijs (ik ben verplicht deze bij mij te hebben in
Nederland) en telefoon compleet apart te bewaren zodat ze nooit
tegelijk ontvreemd kunnen worden. Mijn rijbewijs en bankpas kunnen dus
niet meer in dezelfde portemonnee en mijn vrouw kan daarnaast haar
portemonnee en telefoon niet meer in dezelfde handtas stoppen. Ook zal
ik bij de sportvereniging, sauna of in het zwembad meerdere kluisjes
moeten huren om niet het risico te lopen dat onbevoegden bij het
openbreken van het kluisje in 1 keer over alle benodigde informatie
kunnen beschikken om mijn rekening te plunderen:
- rekeningnummer + pasnummer van de pas
- naam + geboortedatum van mijn rijbewijs
- mijn mobieltje om gebruikersnaam, wachtwoord en TAN-code te achterhalen
Bij een middag sauna kan het best enkele uren duren voordat ik de
vermissing opmerk.
Graag wil ik een mogelijkheid om het versturen van een inlognaam +
wachtwoord via SMS uit te zetten. Als dit niet gebeurt zie ik geen
andere uitweg dan over te stappen naar een andere bank die de
grondbeginselen op het gebied van security wel hoog in het vaandel
heeft staan.
mvg
Janoz
Met grote verbazing en huivering heb ik kennis genomen van de
aankomende veranderingen in de werkwijze van het internetbankieren.
Door deze wijziging wordt ik genoodzaakt mijn bankpas,
identiteitsbewijs (ik ben verplicht deze bij mij te hebben in
Nederland) en telefoon compleet apart te bewaren zodat ze nooit
tegelijk ontvreemd kunnen worden. Mijn rijbewijs en bankpas kunnen dus
niet meer in dezelfde portemonnee en mijn vrouw kan daarnaast haar
portemonnee en telefoon niet meer in dezelfde handtas stoppen. Ook zal
ik bij de sportvereniging, sauna of in het zwembad meerdere kluisjes
moeten huren om niet het risico te lopen dat onbevoegden bij het
openbreken van het kluisje in 1 keer over alle benodigde informatie
kunnen beschikken om mijn rekening te plunderen:
- rekeningnummer + pasnummer van de pas
- naam + geboortedatum van mijn rijbewijs
- mijn mobieltje om gebruikersnaam, wachtwoord en TAN-code te achterhalen
Bij een middag sauna kan het best enkele uren duren voordat ik de
vermissing opmerk.
Graag wil ik een mogelijkheid om het versturen van een inlognaam +
wachtwoord via SMS uit te zetten. Als dit niet gebeurt zie ik geen
andere uitweg dan over te stappen naar een andere bank die de
grondbeginselen op het gebied van security wel hoog in het vaandel
heeft staan.
mvg
Janoz
[Reactie gewijzigd door Janoz op dinsdag 26 januari 2010 16:01]
hear, hear...
Helemaal mee eens. Erg onnozel plan van ING
Helemaal mee eens. Erg onnozel plan van ING
Om deze reden weiger ik om TAN codes per mobiel te ontvangen. Ik krijg ze per post. Men moet buiten "cybercrimineel" ook inbreken in mijn huis. Vangen ze dit eerder per post af, zullen deze TAN codes direct onbruikbaar zijn. Dwz., spreid je winkansen.......danwel kansen op falen.
Dat gaan dus twee klachten worden. ..
De gasten ondersteunen dus ook geen Opera 10.10 en geen Firefox 3.5.7. Het is ook zo ingewikkeld om een pagina te maken die gewoon werkt, zucht...
De gasten ondersteunen dus ook geen Opera 10.10 en geen Firefox 3.5.7. Het is ook zo ingewikkeld om een pagina te maken die gewoon werkt, zucht...
FF werd bij mij anders wel ondersteund, maar die heb ik idd niet up to date ('t is geloof ik wel een 3.5 nogiets)
3.5.7 werkt gewoon. Vanmorgen nog geld overgemaakt. Voor de rest ben ik het 100% eens met Philipsfan.
Overigens heb ik nooit een gebruikersnaam gekregen die bestaat uit m'n voor en achternaam. Maar dat komt misschien omdat ik een ex-postbanker ben.
Overigens heb ik nooit een gebruikersnaam gekregen die bestaat uit m'n voor en achternaam. Maar dat komt misschien omdat ik een ex-postbanker ben.
[Reactie gewijzigd door Donny K. op woensdag 27 januari 2010 12:52]
Duh, Mijn ING werkt met vrijwel iedere browser. Het zijn die online regel systemen zoals het klachtenformulier (zie de link die ik gaf een paar posts terug) die niet werken met browsers anders dan IE en FF.3.5.7 werkt gewoon. Vanmorgen nog geld overgemaakt. Voor de rest ben ik het 100% eens met Philipsfan.
"Huur bijvoorbeeld twee kluisjes, een voor je telefoon en een voor je portemonnee."
LOL
LOL
Of als je met z'n tweeën of meer bent en elk een eigen kluisje hebt: wissel telefoon of portemonnee om met elkaar. Het idee is dat je ze niet bij elkaar bewaart, maar apart.
[Reactie gewijzigd door Jaap-Jan op dinsdag 26 januari 2010 12:51]
Tja..
Ik heb me in de afgelopen jaren regelmatig behoorlijk geergerd als ik weer eens 5+ dagen moest wachten..
Dit lost het wel op :-)
Edit: ING vergoed btw wel een hoop vormen van faude.
Ik heb me in de afgelopen jaren regelmatig behoorlijk geergerd als ik weer eens 5+ dagen moest wachten..
Dit lost het wel op :-)
Edit: ING vergoed btw wel een hoop vormen van faude.
[Reactie gewijzigd door Maxxi op dinsdag 26 januari 2010 12:12]
nou om heel eerlijk te zijn heb ik liever dat als ik mn inloggegevens kwijt ben, dat ik dan 5 dagen moet wachten, dan dat iedere idioot die er met mn mobiel en pas vandoorgaat, mn bankrekening kan plunderen. Kan me niet schelen of ING me dan terugbetaalt, die procedure duurt waarschijnlijk toch langer dan 5 dagen....
en nog een tip voor de mensen die hun inloggegevens kwijtraken: zorg dat je ze altijd helemaal zelf in moet vullen, zodat je ze na een tijdje uit je hoofd weet!
En als ING dit wil gaan doorvoeren, ga ik serieus overwegen een andere bank te zoeken, tenzij ze me gewoon weer terug kunnen zetten naar een papieren lijst met TAN-codes...
en nog een tip voor de mensen die hun inloggegevens kwijtraken: zorg dat je ze altijd helemaal zelf in moet vullen, zodat je ze na een tijdje uit je hoofd weet!
En als ING dit wil gaan doorvoeren, ga ik serieus overwegen een andere bank te zoeken, tenzij ze me gewoon weer terug kunnen zetten naar een papieren lijst met TAN-codes...
[Reactie gewijzigd door Drucchi op dinsdag 26 januari 2010 12:24]
Dat kun je gewoon instellen hoor.tenzij ze me gewoon weer terug kunnen zetten naar een papieren lijst met TAN-codes...
Als ik de ING site lees staat er duidelijk dit:
Met andere woorden: alleen je wachtwoord kan eventueel via sms worden doorgestuurd. Dan weet de dief nog steeds niet je gebruikersnaam en kan niet even snel je rekening plunderen. En je gebruikersnaam is niet standaard en dus niet te raden. Dat geeft je genoeg tijd om je nummer te blokkeren en nieuwe codes aan te vragen. Een toevallige dief kan dus niet even snel je rekening plunderen, maar huisgenoten zouden dat eventueel wel kunnen.Gebruikersnaam en/of wachtwoord aanvragen voor Mijn ING
Het opnieuw aanvragen van uw inloggegevens wordt vanaf maart 2010 eenvoudiger. U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden. Daarnaast kunt u als u TAN-sms gebruikt een nieuw wachtwoord ontvangen per sms-bericht.
Het sms-bericht ontvangt u op uw mobiele telefoon waarvan het nummer geregistreerd staat in Mijn ING. U kunt vervolgens binnen 30 minuten inloggen met uw gebruikersnaam en het nieuwe wachtwoord. Dit nieuwe wachtwoord wijzigt u direct.
Onzin, je gebruikersnaam kun je zelf kiezen, en er is (was iig) geen reden om niet gewoon voornaam+achternaam te kiezen als gebruikersnaam. Je gebruikersnaam is ook niet iets dat veilig en niet te raden hoeft te zijn, daar heb je je wachtwoord voor. Nee, dat zeg ik verkeerd, daar hád je je wachtwoord voorEn je gebruikersnaam is niet standaard en dus niet te raden
[Reactie gewijzigd door .oisyn op dinsdag 26 januari 2010 15:42]
Nee, ik kon mijn gebruikersnaam destijds niet kiezen, wel het wachtwoord.
Op de ING site staat het dus nog vereerd, aangezien er uit je quote te halen is:
(inderdaad wel zinloos dat je gebruikersnaam, opeens je naam niet meer kan zijn omdat iemand die kan raden, en op een andere manier aan je wachtwoord zou kunnen komen.)
Het idee vind ik nog steeds erg vervelend; Iemand die je, op wat voor manier dan ook, berooft, kan aan je wachtwoord komen van je internetbank-account -> hier sluit ik me dus helemaal bij aan:
Maar naar aanleiding van de update, voel ik me toch weer iets veiliger, aangezien ik nog steeds mijn oorspronkelijk gekregen gebruikersnaam gebruik, die met een wachtwoordgenerator lijkt te zijn aangemaakt....U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden.
(inderdaad wel zinloos dat je gebruikersnaam, opeens je naam niet meer kan zijn omdat iemand die kan raden, en op een andere manier aan je wachtwoord zou kunnen komen.)Het idee vind ik nog steeds erg vervelend; Iemand die je, op wat voor manier dan ook, berooft, kan aan je wachtwoord komen van je internetbank-account
-> hier sluit ik me dus helemaal bij aan:Je gebruikersnaam is ook niet iets dat veilig en niet te raden hoeft te zijn, daar heb je je wachtwoord voor. Nee, dat zeg ik verkeerd, daar hád je je wachtwoord voor
[Reactie gewijzigd door Drucchi op dinsdag 26 januari 2010 22:57]
Hoe vaak komt zoiets voor, ik heb nog maar één keer een account aan hoeven vragen.
Er bestaan al veel veiliger en beter (en comfortabelere) beveiligingen op de markt.
Bijna alle Belgische banken gebruiken hier One-time passwords en de enkele gevallen van van "diefstal" zijn te wijten aan onbeveiligde PC's met met een trojan.
Bijna alle Belgische banken gebruiken hier One-time passwords en de enkele gevallen van van "diefstal" zijn te wijten aan onbeveiligde PC's met met een trojan.
Mensen in NL denken graag dat België achterloopt, en op sommige punten is dat mischien ook zo, maar er zijn wel degelijk ook punten waar Nederland achter loopt en België voorop. Dit is er zoeen, net als dat het Belgische Mutualiteitensysteem beter is als het Nederlandse ziektekostenverzekerings-systeem.
Maar als het op een of andere manier zo is dat jij verwijtbaar bent of zou kunnen zijn is de kans op uitkering gelijk al een heel stuk kleiner. Daarbij, je blijft met de ellende zitten, als je rekening geplunderd wordt op deze manier moet je zelf behoorlijk wat moeite doen om alles weer recht te zetten. Dat lijkt me geen prettig vooruitzicht.Edit: ING vergoed btw wel een hoop vormen van faude.
Weet je wat nog makkelijker is, gewoon die TAN-code bende opdoeken. Of wacht... Waarom de hele tijd dat wachtwoord moeten onthouden.
Ik stel voor om gewoon een formuliertje te maken waarbij je een bedrag, een rekening 'van' en een rekening 'naar' en eventueel een omschrijving. Dat is lekker gebruikersvriendelijk en hartstikke makkelijk.
[/sarcasm]
Ik stel voor om gewoon een formuliertje te maken waarbij je een bedrag, een rekening 'van' en een rekening 'naar' en eventueel een omschrijving. Dat is lekker gebruikersvriendelijk en hartstikke makkelijk.
[/sarcasm]
[Reactie gewijzigd door Janoz op dinsdag 26 januari 2010 16:01]
jezus man waarom moet men de boel nu weer veranderen. Ben zelf klant bij ING en heb zoiets van,als iets goed werkt waarom dan veranderen, zeker wat betreft de beveiliging. Het huidige systeem is wat mij betreft goed namelijk.
is dit zo? ze zullen toch ook echt je gebruikersnaam moeten weten en voor zover ik begrijp gaat die nog altijd niet per sms. In de bron staat ook alleen het wachtwoord per sms genoemd.Wie in wil breken op iemands account voor internetbankieren, heeft als het nieuwe beleid ingaat namelijk niets meer nodig dan iemands telefoon, pasnummer en geboortedatum. Een portemonnee en een mobieltje roven uit een kluisje in het zwembad is dus genoeg.
okay, het blijft een stuk minder veilig als het wachtwoord via de post maar. ik kan me best voorstellen dat ze graag een systeem willen dat sneller werkt dan de 5 dagen per post, ik vraag me alleen wel af of dit de manier is.
Edit: nogmaals lezen leert dat het gebruikersnaam volgens de helpdesk ook opgevraagd kan worden. ben benieuwd of dit echt zo is...
[Reactie gewijzigd door Rupie op dinsdag 26 januari 2010 12:20]
De gebruikersnaam kan je zelf aanpassen, maar is in principe eerste voorletter plus achternaam. Goeie kans dat mensen dat niet wijzigen. Maar: je kan, blijkens de nieuwe voorwaarden, ook de gebruikersnaam per sms laten wijzigen, dus dat helpt dan alsnog geen fuck.
Krankzinnige wijziging dus. Dit systeem was behoorlijk veilig, maar nu zal je zien dat er weer wagonladingen vol met opgelichte klanten boos naar Radar stappen. En terecht. Ik ga een apart mobieltje voor telebankieren regelen, want dit schiet niet op zo.
Krankzinnige wijziging dus. Dit systeem was behoorlijk veilig, maar nu zal je zien dat er weer wagonladingen vol met opgelichte klanten boos naar Radar stappen. En terecht. Ik ga een apart mobieltje voor telebankieren regelen, want dit schiet niet op zo.
Is dat zo? Kan veranderd zijn, maar ik moest destijds bij de Postbank zelf een username bedenken. Mijn username heeft zelfs helemaal niets met mijn echte naam te maken.De gebruikersnaam kan je zelf aanpassen, maar is in principe eerste voorletter plus achternaam.
Is dat zo? Ik heb ooit een gebruikersnaam toegewezen gekregen en die is nog altijd hetzelfde, ben nooit gevraagd zelf iets te verzinnen. Hij heeft niets te maken met mijn eigen naam en het is ook geen combinaties van tekens die ik zelf verzonnen zou hebben zeg maar
@Rukapul:
de gebruikersnaam die ik heb gekregen is niet een naam die iemand dus goed gokt en die volgens mij ook niet te onthouden is als je die een keer gezien hebt. Dat onthouden is wat mij betreft alleen een probleem als men dus ook toegang heeft tot jou computer. Dus als je je laptop ook meeneemt naar het zwembad en deze niet voorzien hebt van een windows wachtwoord
@Rukapul:
de gebruikersnaam die ik heb gekregen is niet een naam die iemand dus goed gokt en die volgens mij ook niet te onthouden is als je die een keer gezien hebt. Dat onthouden is wat mij betreft alleen een probleem als men dus ook toegang heeft tot jou computer. Dus als je je laptop ook meeneemt naar het zwembad en deze niet voorzien hebt van een windows wachtwoord
[Reactie gewijzigd door Rupie op dinsdag 26 januari 2010 12:34]
Die procedures veranderen blijkbaar regelmatig, toen ik het aanvroeg kreeg als gebruikersnaam rekeningnummer+initialen.
Ik kreeg zoiets als wn3vgnbm en kies op geregelde tijden een nieuw wachtwoord. Met de papieren tan codes heb ik ook geen probleem.
En zodra de ing acties via een mobieltje gaat verplichten ga ik bij hen weg tenzij ze mij een mobieltje schenken voor dat doel. Ik was tenslotte niet van plan er een te kopen, en al helemaal niet verplicht..
En zodra de ing acties via een mobieltje gaat verplichten ga ik bij hen weg tenzij ze mij een mobieltje schenken voor dat doel. Ik was tenslotte niet van plan er een te kopen, en al helemaal niet verplicht..
Waarom een apart mobieltje regelen voor je internetbankieren? Ik zou gewoon een andere bank zoeken. Een bank die op deze manier hun veiligheid voor elkaar heeft zou ik niet meer vertrouwen, en als je een bank niet meer vertrouwt blijft er weinig over.Krankzinnige wijziging dus. Dit systeem was behoorlijk veilig, maar nu zal je zien dat er weer wagonladingen vol met opgelichte klanten boos naar Radar stappen. En terecht. Ik ga een apart mobieltje voor telebankieren regelen, want dit schiet niet op zo.
Geef mij dan maar de manier waarop de ABN of de Rabo het doen, dat is een heel stuk veiliger, omdat je inlogcode altijd anders is.
Ik hoop dat ING hier op terugkomt, als ik er klant was zou ik in ieder geval gaan lopen.
Ben ik helemaal met je eens. Ik heb in het verleden al eens aangeklopt mij de Rabo om een rekening te openen. Je kan echter alleen een rekening openen bij de Rabo op het moment dat je je salaris daar ook op laat storten en in al die toestanden had ik toen even geen zin.
Op het moment dat ING echter dit soort dingen gaat doen wordt de drempel om alles over te gaan zetten wel een heel stuk lager ineens. Ben wel benieuwd hoe ze daar dan straks mee omgaan als je rekening leeggehaald wordt en jij aan komt zetten met de reden dat je mobieltje gejat is. Is het dan je eigen risico? Vanmiddag toch maar weer eens met ING bellen denk ik maar...
Op het moment dat ING echter dit soort dingen gaat doen wordt de drempel om alles over te gaan zetten wel een heel stuk lager ineens. Ben wel benieuwd hoe ze daar dan straks mee omgaan als je rekening leeggehaald wordt en jij aan komt zetten met de reden dat je mobieltje gejat is. Is het dan je eigen risico? Vanmiddag toch maar weer eens met ING bellen denk ik maar...
Er zijn legio manieren om de gebruikersnaam te verkrijgen, zeker voor semi-bekenden. De gebruikersnaam is ook geen geheim en kan dus ook geen veiligheidswaarde aan gekoppeld worden. Dit blijkt ook wel uit het feit dat ING de optie biedt om de gebruikersnaam te onthouden in een cookie (om vervolgens in de voorwaarden te stellen dat de gebruikersnaam geheimgehouden moet worden en niet opgeslagen mag worden ).
).
Worden verdachte transacties dan ook opgemerkt en geannuleerd? Bijvoorbeeld 'vraag nieuw wachtwoord aan per SMS', 'Haal al het geld van de rekening'.
Impliceert een pas blokkade ook dat er geen nieuw wachtwoord mee kan worden aangevraagd?
Impliceert een pas blokkade ook dat er geen nieuw wachtwoord mee kan worden aangevraagd?
Ehm meestal vraag je een wachtwoord aan om in te loggen en waarschijnlijk ook om geld over te maken. Of je moet alleen je overzicht willen zien. Dus dan wordt ineens de pas van iedereen geblokkeerd zodra ze een wachtwoord aanvragen. Lijkt mij ook niet de meest logische manier van beveiligen.
Daarbij komt dat het systeem waar jij over praat dan wel gekoppeld moet worden aan het SMS systeem. Dit lijkt mij in ieder geval nu niet het geval, er is geen reden voor, dus wie zegt dat het uberhaupt is gekoppeld.
En anders voor de crimineel: 'vraag nieuw wachtwoord aan per SMS' en 'haal halve rekening leeg' zou dan wel goed moeten volstaan...
Ook al kun je er "maar" 1000 euro mee jatten... doe het bij 10 mensen en de crimineeltjes zitten een maand lang niet meer zonder drugs.
Daarbij komt dat het systeem waar jij over praat dan wel gekoppeld moet worden aan het SMS systeem. Dit lijkt mij in ieder geval nu niet het geval, er is geen reden voor, dus wie zegt dat het uberhaupt is gekoppeld.
En anders voor de crimineel: 'vraag nieuw wachtwoord aan per SMS' en 'haal halve rekening leeg' zou dan wel goed moeten volstaan...
Ook al kun je er "maar" 1000 euro mee jatten... doe het bij 10 mensen en de crimineeltjes zitten een maand lang niet meer zonder drugs.
[Reactie gewijzigd door XiniX88 op dinsdag 26 januari 2010 12:27]
Nou nee, ik stel alleen dat een verdachte transactie is 'nieuw wachtwoord', 'al het geld overmaken'.
Maar ik weet nog wel een simpele oplossing om het probleem te voorkomen: zet je telefoon gewoon uit als je hem in een kastje in het zwembad legt.
Maar ik weet nog wel een simpele oplossing om het probleem te voorkomen: zet je telefoon gewoon uit als je hem in een kastje in het zwembad legt.
Telefoon uit, 3 keer pincode raden, niet gelukt, puk code gebruiken (kan 10 keer) en je hebt weer 3 pogingen, dus totaal 30 en die puk-code onthoud niemand, dus wordt bewaard.
En 'al het geld overmaken' doe je dan minus 1 cent of minus 1 euro en het wordt niet gedetecteerd.
En 'al het geld overmaken' doe je dan minus 1 cent of minus 1 euro en het wordt niet gedetecteerd.
Ik ben blij dat ik geen telefoonnummer heb ingevuld bij de ING en gewoon tan codes op een papiertje thuis kreeg. Als ik dat wel had zou ik dat snel veranderen naar een papiertje of een andere bank opzoeken want zo wordt het wel erg makkelijk gemaakt.
Wie neemt nou niet z'n mobiel en pinpas altijd samen mee als je weggaat?
Wie neemt nou niet z'n mobiel en pinpas altijd samen mee als je weggaat?
Ik vind het systeem met SMS juist geniaal, zeker omdat je altijd je mobiel bij je hebt. Ik zit er alleen niet op te wachten dat ook via mijn mobiel het wachtwoord gereset kan worden.
En je kan internetbankieren vanaf je telefoon, vond ik ook ideaal maar nu gaat dit de reden worden om binnen 1 jaar tijd naar bank nummer 4 te gaan denk ik.
(Argenta stopte met dienstverlening, DSB failliet, ING van lotje getikt).
(Argenta stopte met dienstverlening, DSB failliet, ING van lotje getikt).
Precies dezelfde volgorde voor mij denk ik... Hoewel, bij voldoende ophef zal ING toch ook wel inzien dat dit geen strak plan is...Wat is er mis met TAN-codes via SMS? Dat is prachtig bedacht, op een willekeurige locatie bedenk je ineens dat je wat geld over wilt maken, logt even in op mijn ing. krijg je tan code via sms voert hem in en voila betaling voltooid.
Maar of ze het wachtwoord nou via sms moeten versturen vraag ik me ook af.
Of ze moeten het zo doen dat je bijvoorbeeld na een random aantal minuten tussen de 0 en 30 ofzo gebeld wordt door een computer die via spraakherkenning de naam hoort van wie er opneemt op het betreffende nummer waarbij je vervolgens een 6 cijferige pincode in moet voeren (zoiets als de girofoon). Vervolgens krijg je via sms een wachtwoord terug die je tussen 60 en 70 minuten na het telefoontje in kunt voeren en daarna vervalt het tijdelijke wachtwoord weer.
Maar of ze het wachtwoord nou via sms moeten versturen vraag ik me ook af.
Of ze moeten het zo doen dat je bijvoorbeeld na een random aantal minuten tussen de 0 en 30 ofzo gebeld wordt door een computer die via spraakherkenning de naam hoort van wie er opneemt op het betreffende nummer waarbij je vervolgens een 6 cijferige pincode in moet voeren (zoiets als de girofoon). Vervolgens krijg je via sms een wachtwoord terug die je tussen 60 en 70 minuten na het telefoontje in kunt voeren en daarna vervalt het tijdelijke wachtwoord weer.
Op dit item kan niet meer gereageerd worden.
Populair: Android Tablets Samsung Websites en communities Mobiele telefoons Google Sony Microsoft Games Politiek en recht
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
