Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , reacties: 162, views: 33.395 •

ING heeft een extra authenticatiestap toegevoegd aan zijn internetbankierdienst. Wie inlogt vanaf een computer die bijvoorbeeld nog niet eerder is gebruikt voor internetbankieren van ING, moet inloggen met een zogenoemde persoonlijke authenticatiecode.

De bank maakte al gebruik van zogenoemde tan-codes bij het bevestigen van betalingen; de nieuwe pac's worden daaraan toegevoegd als een extra stap in het authenticatieproces. Dat heeft de bank maandag bekendgemaakt. De directeur Verkoop en Service Internet van ING noemt de nieuwe authenticatiestap een 'uitbreiding van het tan-systeem'.

Er wordt gevraagd om de zogenoemde pac-code als gebruikers 'anders inloggen dan normaal'. "Het gaat daarbij om een aantal variabelen", zegt woordvoerder Daan Heijbroek van ING. "Een daarvan is de locatie. We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.

De codes kunnen net als tan-codes zowel via sms worden verstuurd als op een papieren lijst worden aangeleverd. Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie. Gebruikers van papieren lijsten ontvangen binnenkort een nieuwe lijst waarop ook pac's staan.

De manier waarop ING authenticatie bij het inloggen inschakelt, doet denken aan de two factor authentication-implementatie van Facebook en Google. Als gebruikers die functionaliteit hebben ingeschakeld en vanaf een nieuwe locatie inloggen, krijgen ze een verificatiecode per sms.

Reacties (162)

Reactiefilter:-11620159+1108+211+30
Indien ze gebruikers duidelijk genoeg maken dat ze die codes puur en alleen moeten aanvragen op momenten dat ze echt op een nieuwe locatie zijn en anders nooit kan het een nuttige toevoeging zijn, maar in essentie veranderd er eigenlijk niets en is het niet eens echt two factor authenticatie, want de factoren zijn aan elkaar gelijk. (Niet zoals bij andere two factor systemen waar bijv. mobiel+desktop de twee factoren zijn.)
het lijkt me dat het net als met TAN codes zo werkt dat je de code krijgt toegestuurd zodra je hem nodig hebt. en enkel en alleen dan.
Dat staat ook in het artikel: "Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie."
Daar moet ik even rekening mee houden. Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.
Goede zaak, hier sta ik volledig achter!
vergeet dan niet je voicemail uit te zetten.
LOL! Die heb ik nog nooit aangehad. ;)
Maar mijn data moet ik inderdaad wel uitzetten.
Hoezo dat? ik gebruik ook ING en heb voicemail er op staan. Dus ik zie het probleem niet zo?
VOicemail is nogal duur in het buitenland....
Wat dacht je van mensen die je voicemail inspreken op vakantie......
Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.

Hoop voor ING dat ze er gelijk een checkbox 'tijdelijke locatŪe' bij hebben gemaakt die de geldigheid van die pc gelijk wist als je uitlogt.
Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.
Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was. De misbruiker moet dan toegang hebben tot die specifieke PC en weten dat dat de PC is die jij gebruikt hebt.

Stel dat je in je in een jaar toegang hebt gehad met de ING op 100 PC's (wat al excessief is volgens mij) dan zijn dat altijd nog veel minder potentiele lekken dan de honderden miljoenen PC die er op de wereld zijn. Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe. Dus zelfs als het gebeurt, wat al een veel kleinere kans is volgens mij, is er qua onderzoek veel meer uit te zoeken.

Ik denk dat misbruikers liever een verbinding over een aantal data centers willen laten lopen om het spoor zo moeilijk mogelijk te maken, dat gaat nu niet meer.

Dus nee, misbruik is niet volledig onmogelijk maar ja, het is wel een stuk lastiger en beperkter geworden. Ik denk dat de telefoon stelen en dan als de bliksum geld overmaken gemakkelijker is.

[Reactie gewijzigd door pe1dnn op 20 november 2012 12:06]

dus ik kan geblindoekt het spoor hier over steken, er rijden maar zo'n 10 treinen heen en 1 treinen terug... als het voorbrij razen 1 minuut doort heb je dus meer kans op niet geraakt te worden...

GOED punt om daar je persoonlijke veiligheid op te baseren.

alleen al het feit dat men geen openheid bied in de manier waarop wordt beveiligd, (security by obscurity), is een compleet foute instap, (dat leer je al in klas 1 mbo ict...

dat je dit voor thuis op 1 pc' kunt uitschakelen zou al erg genoeg zijn maar begrijpelijk, de rest zo moeten gaan via smstjes of andere losstaande factor...

bijv door een code die je weet, en een code die je pas kunt weten op het moment dat je hem nodig hebt..
Mee eens en ben blij dat ze blijven ontwikkelen. Het is een relatief kleine stap wat al veel misbruik zal gaan voorkomen.
Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was.
Nou ja, als een "minder-eerlijke" persoon een internet-cafe heeft juist om te kunnen sniffen / keyloggen / whatever, dan kan ik automatisch ook meteen bij de goede machine.

Maar ik ben het wel met sundace eens ja, de tweede keer is net zo riskant als de eerste. Dus na de eerste keer succesvol inloggen zou je eigenlijk een optie moeten krijgen "sla deze locatie wel/niet op voor toekomstig gebruik".
Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe.
Ergens heb je een punt, maar ik ga toch liever voor de "voorkomen is beter dan genezen"-aanpak.
Het lijkt me dat je wel de toestemming op pc's kunt weghalen? Zo werkt het bij Microsoft momenteel ook voor Windows 8 en Windows Phone. Ook facebook heeft deze mogelijkheid

[Reactie gewijzigd door Martinspire op 20 november 2012 12:12]

ik zou eigenlijk aannemen dat een pc pas vertrouwd is vanaf 3-4 veilige aanlogs in een kortere periode (b.v. 2 weken)
Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.
Niet juist;

De bank ziet dat je in Nederland woont en normaliter vanuit Nederland inlogt. Log je vanaf het buitenland in, wordt er vermoedelijk ELKE KEER een tan code gevraagd...

Niet alle details van het systeem zijn immers bekend gemaakt :-)
Dat zou erg vervelend zijn. Internetverkeer op mijn werk gaat via een franse server. Iedere inlog daar is dus 'vanuit het buitenland'.
Je moet je om te beginnen natuurlijk afvragen of je wel (vaker dan incidenteel) wil inloggen op je privťrekening vanaf je werk, maar goed. Stel dat je dat zal doen, dan gaat dat systeem vast wel doorhebben dat je dat regelmatig doet en je systeem dus vertrouwen.
Het systeem vraagt jou niet om die variabelen in te vullen, dat doet het systeem zelf. En aan de hand van de waarden van die variabelen bepaald het (de ING) of het al een vertrouwde locatie is, of dat je nog eens extra moet bevestigen mbv die pac code.
Bankzaken doe ik thuis. Niet op het werk. Op het werk werken we tenslotte voor de baas :D
Je kan natuurlijk wel even checken of je salaris al is overgemaakt. :P
Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.
Leuk, totdat je in een regio of land komt waar je geen mobiel kunt gebruiken. Zat plekken in Afrika en Azie waar je wel internet hebt, maar geen mobiel bereik (of zelfs bv zoals in Myanmar helemaal geen mobiel netwerk). Ik vind het dus helemaal niets. Of men moet je de mogelijkheid geven om die SMS TAN route te omzeilen.
Geen paniek, er zijn natuurlijk oplossingen voor alle situaties, zelfs als je naar Myanmar gaat.
Bijv. een PAC / TAN lijst op papier meenemen :-)
Zodra jij met mijn account probeert in te loggen met mijn login/paswoord zal je de tan code ook nodig hebben. Los van het feit dat je sowieso al geen geld kon over maken kun je nu ook mijn bankzaken niet meer inzien wanneer je mijn login/paswoord bemachtigt. Dus er is wel degelijk een verschil.
Wanneer ik met jouw login/pass in probeer te loggen wordt dus om de nieuwe PAC gevraagd, niet om de TAN.
De TAN wordt pas gevraagd bij bevestiging van een betaalopdracht zoals gebruikelijk.
Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet :Y)
Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet
Je moet bij een 'onbekende' locatie dus 4 dingen invoeren/weten:
1. login naam (inloggen - uit het hoofd)
2. wachtwoord (inloggen - uit het hoofd)
3. PAC (inloggen - via SMS, je kunt dan alleen in het account rondkijken)
4. TAN (transactie doen - via een tweede te ontvangen SMS, per transactie)
Dus PAC en TAN zijn niet gelijk.

[Reactie gewijzigd door Fireshade op 20 november 2012 11:53]

Hij doelt erop dat beide een code zijn, die extra moet worden ingevoerd. Wat je met die code doet verschilt inderdaad.
tan en pak zijn WEL gelijk... namelijk in Die zin, dat:

ik heb een keylogger, of een database met wachtwoord hashes... (waar de jouwe ook in staat)...

nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...
je wachtwoord hash is op zoveel manieren te achterhalen,

in een hoekje kijken totdat ik je in zie loggen op de bank en dan via vinger vet plekken op je toetsenbord een educated guess, OF een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank.... ...

nu zullen dit soort dingen niet altijd bij iedereen werken, maar als het 2 op elke 10 zijn ben je al snel binnen.

mogelijkheden te over.


Hierover verderdenkend,

die randomreader van de rabo is eigenlijk ook een security factor, ik typ er werkelijks mijn pincode op en hoewel ik er ook ideal codes (random) op moet intypene, weet ik bijna zeker dat er 4 toetsen zijn die meer zijn weggesleten dan de 6 anderen...

daarmee wil ik dus vooral aangeven, dat security wel wat lastiger is dan zomaar even 'niet wille zeggen welke variabelen er gebruikt worden' want als DAT een factor is in je beveiliging dan is er binnekort NIETS meer van dit kaartenhuis over...

Wederom een ING FAAL....
leuk, dan heb je een TAN code..... En dan..... Na 1 keer gebruiken is deze toch al vervallen.

Aan de andere kant, TAN code via SMS is onveilig. Omdat een gestolen telefoon al toegang geeft tot transacties.

Overigens, veranderd je IMEI nummer van je telefoon bij ING duurt het bijna 2 weken voordat je Telefoon weer gebruikt kan worden. Dus gestolen telefoon, SIM kaart er uit en dan telebanken, is een no go.
Dat is dan zeker nieuw dat van dat IMEI nummer.

Ik heb van de zomer een nieuwe telefoon gekocht en kon daar gewoon mee internetbankieren.

Daarvoor ben ik ook wel eens van telefoon gewisseld zonder dat dit gevolgen had voor het internetbankieren.

Bij de laatste telefoonwissel werd de dienst wel 48 uur geblokkeerd, maar dat kwam doordat ik ook een nieuwe sim-kaart in gebruik had genomen.
nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...
versus
(...)een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank (...)
Ehm, de eerste is een specifieke aanval gericht op 1 persoon, ja daar kun je de telefoon van stelen, de tweede is een algemene aanval op veel personen tegelijk, lijkt me sterk dat je al die mensen de telefoon/TAN/PAC lijst zal kunnen stelen.
Het is wel degelijk two factor authenticatie. Nu is het zo dat ik met kennis van mijn username/password in kan loggen bij ING. Zomet een heb ik die kennis nodig en komt daar ook bezit bij (of mijn telefoon waarop een code staat, of een lijst met codes).
Dat was het dus al voor transacties en wordt het nu ook voor inloggen. Maar alleen inloggen (read only toegang) is voor boeven niet spannend. Dus two factor authenticatie op inloggen vind ik niet nodig. Is alleen lastig voor de klant.
Hoezo werkt het niet? Stel dat een hacker je bank gegevens ontfutseld. en daarmee dus op ing kan inloggen. dit gaat dus straks niet meer, omdat jij op jou telefoon een sms krijgt dat er geprobeerd wordt om in te loggen. Dan weet je ook direct dat iemand je gegvens hebt en kan er actie worden ondernomen. dit is voor mij een welkome feature!

wel vindt ik dat er duidelijk in de sms moet staan waarom je de code ontvangt, zodat oudere mensen en digibeten weten wat er aan de hand is en het ook snappen.

Naar mijn mening een prima feature!

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.

[Reactie gewijzigd door sygys op 20 november 2012 10:24]

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.
urrrrr.... bij ING moet je voor *iedere* overschrijving een TAN code invoeren. Of het nou om een vreemd bankrekeningnummer gaat of niet.
Niet via de smartphone app. daar kan het zonder tan.
maargoed daar heb je deze PAC ook niet bij nodig lijkt me.
Die smartphone telefoonnummer staat dan ook geregistreerd bij ING - daarom hoef je geen TAN meer in te vullen. Lijkt me dan overbodig bij gebruik van de app.
Wil je vanaf een andere smartphone-telefoonnummer kunnen bankieren, dan moet je dat nummer (ook) registreren bij ING.
Nog veel leuker, je IMEI zelfs. Probeer maar eens te telebanken met een nieuwe telefoon, dat moet je eerst doorgeven voor je nieuwe telefoon kan gebruiken.
Da's leuk, maar er hoeft maar een bankvirusje op je smartphone te staan en je bankrekening loopt leeg.

De reden dat TAN codes bestaan is voor two-factor authentication. Two factor authing is niet alleen handig omdat je dubbel verifieert of een persoon is wie hij/zij zegt dat ze is, maar ook omdat je geen single point of failure hebt, e.g een gehackte computer of smartphone.

Toen TAN codes bedacht werden waren er nog helemaal geen smartphones, tenminste, niet zoals ze er nu zijn. Er werd helemaal niet aan gedacht dat de telefoon wellicht ook gehackt kon worden en de tancodes onderschept konden worden. Echter vandaag de dag is dat niet eens meer zo vergezocht; sterker nog, dat soort malware bestaat al.

Vanuit een beveiligingsperspectief is de smartphone app dus eigenlijk gewoon erg slecht ten opzichte van de website. En daar zijn ze zich ook wel bewust van denk ik, anders hadden ze vanaf het begin wel toegestaan dat je ook mobiel zakelijk kon bankieren. Maar zoals zo vaak gebeurd in de programmeer wereld, je programma word ineens populairder dan je verwacht en omdat je er niet op had geanticipeerd in het originele ontwerp, zit je met een uit de krachten gegroeide applicatie. In dit geval WERKT de applicatie goed, maar is gewoon puur door de design keuzes lek. Of het nog echt een probleem word moet nog blijken.
Het TAN-systeem was en blijft two-factor: Iets dat je weet (wachtwoord) en iets dat je hebt of krijgt (TAN). Dat je nu nog iets krijgt verandert daar niets aan, want dat krijg je via dezelfde weg als een TAN.

@keesdewit hieronder: Dat je codes op papier hebt (lees: dat die codes nou nog steeds niet afgeschaft zijn), is in verband met phishing en gebrek aan controlemogelijkheid van de transactie erg vervelend, maar doet in principe niet aan de two factor af. Ik zeg hierboven al iets dat je hebt (papier) of krijgt (sms). Het enige punt waarop de two factor zou vervallen, is als je internetbankiert op dezelfde GSM waar je ook de TAN en transactiecontrole binnenkrijgt. Dan is het systeem gereduceerd tot ongeveer even onveilig als een random-reader en kwetsbaar voor een op de telefoon resp. pc aanwezig stuk malware.

[Reactie gewijzigd door mae-t.net op 21 november 2012 01:41]

Het tan systeem met voorgedefinieerde tan codes is niet echt 2 factor. Het is wat je weet (gebruikersnaam/wachtwoord) en wat je weet (reeds beschikbare tan codes). Bij een code via sms moet je op dat moment de beschikking hebben over de gsm van de gebruiker. Dit in tegenstelling tot voorgedefinieerde tan codes die je net zo goed overgeschreven/gekopieerd kan hebben.

[Reactie gewijzigd door keesdewit op 20 november 2012 20:44]

Staat blijkbaar nu nog niet aan, of mijn laptop is al vertrouwd.

Tevens wel erg toepasselijk dat ik nu deze melding krijg na het inloggen:
U kunt uw gegevens tijdelijk niet bekijken. Wij doen ons best om dit zo snel mogelijk op te lossen. Probeert u het later nog een keer. Meer informatie
Vraag me af wanneer ze eens wat aan de stabiliteit van internet bankieren doen

[Reactie gewijzigd door tha_crazy op 20 november 2012 10:06]

Alle methodes van bankieren zijn instabiel, een overschrijving kan immers ook in de post kwijtraken of beschadigen. Het verbaast me wel eens dat internetbankieren zo ongeloofelijk stabiel is als het is. Je zou bijna geen oude sok met contanten meer nodig hebben (ware het niet dat de banken hun oligopolie uitbuiten en je minder kosten maakt als je meer contant doet).

[Reactie gewijzigd door mae-t.net op 21 november 2012 01:43]

Het artikel lezend vraag ik me af of het om een computer of over het IP adres gaat waar nog nooit eerder van geinternetbankierd is.
Of beiden, maar daarover wil de ING dus niets kwijt.

Lijkt me trouwens dat je dit makkelijk zelf kunt testen vanaf volgende week..
Ik denk dat er ook gekeken wordt naar de provider je browser versie e.d. Je kunt veel te weten komen via de browser...
Ik mag hopen dat dat niet het geval is, aangezien ik bijvoorbeeld een dynamisch IP adres heb dat regelmatig verandert (iets wat ik kan zien aan de vele veranderde DynDNS entries).
Dat zou betekenen dat ik steeds zo'n pac in zou moeten voeren.

Mij lijkt het waarschijnlijker dat ze gebruik maken van de locatie van IP ranges, waar vaak een bepaalde regio bij hoort. Een en ander kan aangevuld worden met de fingerprint van de browser (versienr., versie, OS, geinstalleerde plugins) en cookies.
Behalve je problemen met een dynamisch IP zou dat ook beteken dat iemand die toch al jouw bankgegevens heeft alleen nog op je netwerk hoeft in te breken om toch weer toegang te krijgen tot je internetbankieren.
Nou ja, da's natuurlijk nog altijd een stuk beter dan iemand die toegang heeft tot je bankgegevens en niet op je netwerk hoeft in te breken.
Dus je krijgt een SMS op het zelfde device als waar je de TAN codes op krijgt?

Weinig extra veiligheid als je het mij vraaagt. Je had altijd al een password en de telefoon nodig om geld over te kunnen schrijven. Enige voordeel is dat hackers je saldo niet meer kunnen zien :?
Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon. Je kunt overboeken met telefoon. En deze 'extra beveiliging' werkt ook via de telefoon? Om de een of andere reden geeft dit het gevoel dat het voornamelijk een extra handeling gaat worden die je soms zal moeten gebruiken. Hoe het hierdoor veiliger gaat worden is mij een raadsel eigenlijk.
Hoezo niet veilig Rupie? Een hacker moet je loginnaam hebben. daarnaast je wachtwoord, vervolgens dezelfde pc op dezelfde plaats gebruiken of beschikken over JOU telefoon om uberhaupt in te loggen. om gegevens opnieuw op te vragen, is je bankpas nodig, je geboorte datum je naam en adres. Vervolgens moet een hacker op je fysieke adres je post van ING onderscheppen die overigens in een blanco envelop wordt opgestuurd.

Vervolgens moet de hacker wanneer hij dit alles voor elkaar gekregen heeft ook nog deze gegevens ter verificatie op internet invoeren.

Ik denk dat het makkelijker is gewoon de voordeur te forceren en de autosleutels mee te nemen!!!

Wanneer je je telefoon niet meer hebt dan blokkeer je je nummer en dan komen er ook geen tan codes of pac codes meer aan op het toestel. Dus wat is precies het probleem??

Deze functie is puur bedoelt voor wanneer een hacker ongemerkt je gegevens te pakken krijgt en probeert in te loggen. Ik snap alleen niet hoe mensen nog steeds in die mailtjes trappen van valse banken. Als je het niet vertrouwt en het lijkt wel echt kun je ook altijd valse gegevens invoeren. als je dan toch door het eerste scherm komt... dan weet je direct genoeg. ik typ voor de gein altijd "Fuck you" in bij gebruikers naam zodat ik de hacker even laat weten wat ik van hem denk als hij de valse gegevens van mij binnen krijgt.

Ik vraag me alleen nog steeds af hoe het met outlook mogelijk is dat je een email adres kunt masken en er gewoon info@ing.nl van kunt maken... dit zou gewoon niet moeten kunnen! want dat zou een hoop schelen als je het daadwerkelijke email adres van de hacker te zien zou krijgen, dan zou je daar eens lekker een spam bot op los kunnen laten. Ik vraag me ook af waarom ze die gasten niet gewoon simpel kunnen achterhalen.

[Reactie gewijzigd door sygys op 20 november 2012 10:39]

Totdat iemand je telefoon ongemerkt weet te forwarden naar een ander nummer. Onwaarschijnlijk? Lees dit maar eens, een erg interessant artikel uit wired:

This past summer UGNazi decided to go after Prince, CEO of a web performance and security company called CloudFlare. They wanted to get into his Google Apps account, but it was protected by two-factor. What to do? The hackers hit his AT&T cell phone account. As it turns out, AT&T uses Social Security numbers essentially as an over-the-phone password. Give the carrier those nine digits—or even just the last four—along with the name, phone number, and billing address on an account and it lets anyone add a forwarding number to any account in its system. And getting a Social Security number these days is simple: They’re sold openly online, in shockingly complete databases.

Prince’s hackers used the SSN to add a forwarding number to his AT&T service and then made a password-reset request with Google. So when the automated call came in, it was forwarded to them. Voilŗ—the account was theirs.
In Nederland is er geen operator die SMS forwarding aanbiedt....
Rupie zet geen vraagtekens bij de veiligheid, maar bij de toegevoegde veiligheid van deze pac-codes. ING had al two-factor authentication: je moet inloggen met iets dat je weet (username/password) en iets dat je hebt (tan-codes via SMS naar je mobiele telefoon - ik gok dat weinig mensen ze nog op papier gebruiken).

Nu zegt ING het veiliger te maken door inloggen extra te controleren en verdachte logins een extra check te geven. Vreemd genoeg gebruiken ze exact hetzelfde kanaal voor die pac-codes als de tan-codes, namelijk een SMS. Met andere woorden: hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen, en dat is nu nog steeds zo. Het zou pas echt veiliger zijn als er om een derde factor zou worden gevraagd ipv die pac-codes, zoals iets dat de gebruiker is: een scan van de vingerafdruk of iris.

Het tweede deel van je verhaal - spoofen van e-mailadressen voornamelijk - bestaan al oplossingen voor maar ze zijn nog niet breed in gebruik genomen. Kijk eens naar DKIM en SPF.

Edit: ik was vergeten dat je bij de ING in kan loggen zonder code via SMS, dat voegt deze pac-code wel toe. Het maakt het iets lastiger om er achter te komen of het de moeite waard is om je telefoon te stelen :P want daarna gaat het verhaal over je rekening plunderen nog steeds op. Dus tenzij inzicht in je saldo, bij- en afschrijvingen een gevoelige kwestie is (chantage?) voegt dit imo weinig praktische veiligheid toe.

[Reactie gewijzigd door Rafe op 20 november 2012 11:35]

hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen
Dat is nogal wat volgens mij. En dat is ook het punt van Damsplaat.
Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren.Er zijn genoeg criminele groepen die gebruik maken van 0days al dan niet verstopt in de reclame op diverse websites waarna de PC van een ING klant over genomen kan worden.Wat maakt die PC op een andere locatie dan nog uit?Het is gewoon half werk.Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.
Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren
en dan kan je dus alleen saldo inzien.

Nu is het zo dat je zelfs om maar in te kunnen loggen van je afrikaanse verbinding je een extra code nodig hebt die niet via de internetsite te achterhalen valt..
Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.
digipas? nog nooit van gehoord, vast een heel select groepje zakelijke klanten dat dat heeft (die vermoedelijk uit een overname van een andere bank komen)
Dan nemen ze mijn pc over, maken een betaling aan. En terwijl ik heel wat anders doe krijg ik een sms met een TAN code. Daar hebben die hackers toch niks aan?
Ik gebruik bewust geen SMS. Het waarom laat ik even achterwege.

Kortom: ik gebruik TAN codes op papier.... De username en pass ken ik uit m'n hoofd. Hiermee kan ik overal inloggen zonder mijn TAN-lijst nodig te zijn. Alleen bij het doen van een transactie moet ik deze erbij pakken.

Maar nu komt er dus een 2e papieren lijst die ik al nodig ben bij het inloggen? Dus even snel kijken wat er bij en af geschreven is kan niet "zomaar" meer.... what the @#$#@$
ik gok dat weinig mensen ze nog op papier gebruiken).
Gebruik ze wel degelijk nog op papier. Neem TAN lijst mee als ik naar buitenland ga en doe niet aan SMS. SMS is gewoonweg te onveilig, bijvoorbeeld omdat je bij een gestolen telefoon waarop je geen "pin code" hebt het risico loopt dat je tot alles toegang geeft.

Het voordeel van een papieren lijst is dat je deze gewoon ergens kan opbergen, er niet de hele dag mee rond hoeft te lopen. Zelf heb ik een foto kopie gemaakt van de tan lijst waarbij deze is verkleind tot A6 formaat, zit gewoon ergens waar ik het weet. Jatten ze mijn phone, dan geen nood, kan ik gewoon nieuwe telefoon bestellen zonder phone nodig te hebben.

Daarnaast gaat een TAN lijst niet kapot, heb je ook geen last van keyloggers in je tan lijst, of app's die je sms'jes onderscheppen.
Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon.
Succes daarmee.....
Nee, dat kan dus niet. Het wachtwoord wordt zowieso nooit af gegeven. Dat kan alleen gereset worden en dat is een uitgebreide, langdurige procedure waarvoor je eerst je account moet blokeren en daarna een brief thuis gestuurd krijgt.

Nee, zo simpel is het niet. De beveiliging is wellicht niet perfect maar op sommige gebieden toch wel behoorlijk sterk.
Dat is niet waar. Ik heb het vanmorgen nog gedaan.
Je moet de gegevens van je bankpas hebben, je inlognaam en je telefoonnummer (en dus ook de telefoon)
Via sms krijg je een tijdelijk wachtwoord waarmee je 30 min kan inloggen om een nieuw wachtwoord aan te maken.
Voor mij handig, want ik zit momenteel in het buitenland
Typisch. Als je op consumentenfora gaat zoeken zie je veel klachten van mensen die moeten wachten totdat ze een nieuw password op het postkantoor kunnen ophalen....
Heel vreemd, want de procedure bij 3 keer fout wachtwoord is:
* per post een brief dat je nieuwe wachtwoord wordt gezonden naar een postagentschap
* na 5-7 dagen ligt nieuwe wachtwoord klaar bij dat agentschap
* brief en geldige legitimatie nodig om wachtwoord op te halen.

[Reactie gewijzigd door Wim-Bart op 20 november 2012 16:19]

Sinds een wijziging in 2010 is dat niet meer zo: [Risico] Aanpassing wachtwoord-retrieval MijnING.nl
Je kan je gebruikersnaam neit achterhalen met pas en telefoon. Je kan alleen je wachtwoord opvragen via je telefoon als je dat als tanfunctie hebt ingesteld. Het is onmogelijk met welk onderdeel dan ook of alleen je gebruikersnaam, of alleen je wachtwoord of alleen je pac / tan om aan de rest van de codes te komen.

Het is alleen mogelijk via man in de middle of als je letterlijk de codes afhandig maakt van de gebruiker. Dus telefoon / pas en of tanlijst steelt. Dat is wel erg extreem.
Lijkt me heel veel extra veiligheid. (zonder in te leveren op gebruikersgemak.)

Bijvoorbeeld omdat je met het zien van saldo en laatste bij-afschrijvingen heel makkelijk een paypal account kan koppelen aan een lopende rekening.

Ik zeg niet dat ik 100% tevreden ben over de veligheid van internetbankieren bij de ing (zeker omdat je tegenwoordig ook je wachtwoord kan veranderen via sms-codes), maar dit is zeker wel een stukje veiliger dan eerst.
Het is een kwestie van tijd natuurlijk wanneer ook de virusmakers hier op in gaan spelen en ook via man in de middle deze PAC code proberen te ontfutselen. Maar ik denk dat het hier gaat om locatie gebonden inlogsessies. Dus dat deze PAC code niet werkt op een andere locatie alleen maar op dat moment bij de gebruiker waar hier om wordt gevraagd.

Dit is meer bedoeld denk ik om onterechte blokkades te voorkomen wanneer ING denk dat het om een fraudepoging gaat waarbij de inloggegevens in bezit zouden zijn van een fraudeur. Daar kan nu een scheiding in gemaakt worden.

[Reactie gewijzigd door maradesign op 20 november 2012 10:23]

En dat de "Paypal" zwendel niet meer mogelijk is hierdoor. Daar had je uitsluitend de login voor nodig.
Het grote voordeel is dat de hele PayPay-scam niet meer werkt en da's best goed nieuws.

nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

Bij PayPal hoef je namelijk alleen maar twee bijschrijvingen kunnen inzien om het rekeningnummer (met automatische incasso) te kunnen gebruiken. Dat kon voorheen dus al met gebruikersnaam en wachtwoord, want dan kon je bij de af- en bijschrijvingen. Nu zit daar dus die extra code tussen, zodat je ook nog iemands telefoon (of alleen het smsje) moet zien te onderscheppen.
Dat is hooguit bijvangst. Paypal zou namelijk de veiligheid niet enkel van een kanaal van een derde met semi-ongedefinieerde en niet gegarandeerde veiligheidseigenschappen moeten laten afhangen.
Misschien een stomme vraag, maar hoe moet ik sms ontvangen op mijn computer, want een mobiel heb ik niet. :?
Voor jou is het papiertje met codes uitgevonden. Die iedereen gewoon kan kopieeren en die je kan kwijtraken, zodat je account makkelijker binnen te komen is dan via sms.

(die papieren versie moet er gewoon uit.. en tan codes via SMS kunnen ze beter vervangen door een random reader die iedereen gewoon mee kan nemen in de tas maar waar je niets aan hebt zonder bankpas en pincode)
iedereen zo maar kan kopieeren
Moeten ze wel eerst inbreken. Mijn mobiel loopt een groter gevaar te worden gestolen.
Ik sluit me vooralsnog bij je aan.

Als banktrojans de meest significante aanvalsvector vormen op het moment dan gaat dit de oplossing daarvoor in elk geval niet bieden. Wat wel kan bijdragen en mogelijk gerelateerd is, is dat banktrojans steeds beter de context (browser, etc) moeten imiteren of nadoen om niet server-side gedetecteerd te worden. Dat hoeft echter niet bij het inloggen te gebeuren, maar kan gewoon bij de transactie plaatsvinden.

Sterke authorisatie van apparaten is prima in veel omgevingen, maar in dit geval lijkt het bijzonder weinig toe te voegen.

[Reactie gewijzigd door Rukapul op 20 november 2012 11:53]

Niet alleen je saldo, ook de details van vorige transacties. En sommige online betaalsystemen valideren nieuwe accounts door een kleine transactie te doen via incasso, waar dan in de omschrijving de activatiecode staat.

Als aanvaller kon je voorheen zonder two-factor authenticatie toegang krijgen tot die transactiegegevens om een online account koppelen aan andermans bankrekening.

Edit: ah, dat zij ari ook al: ari in 'nieuws: ING schakelt two-factor-authenticatie in bij inloggen'

[Reactie gewijzigd door Orion84 op 20 november 2012 12:45]

Ik ben benieuwd hoe ze het kaf van het koren willen gaan scheiden qua inlog pogingen.

Ik heb de hele zomer door Europa overal op de iPad m'n Gmail fatsoenlijk kunnen bekijken, pas in KroatiŽ kreeg ik op een "backup" e-mailadres een mail van Google over een "dubieuze" inlog poging vanaf de zelfde iPad. Kennelijk dus omdat het om een Kroatisch mobiel IP-adres ging.

Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.
mobiel bankieren kan mij niet veilig genoeg zijn
Wat mij betreft zit daar toch wel een grens aan. Het moet natuurlijk wel gemakkelijk en bruikbaar blijven.
Je kunt er denk ik toch ook vanuit gaan dat ze het systeem vooral toepassen op regio's waar dit soort criminaliteit vaak voorkomt. Als je weet dat voornamelijk Roemenen en Bulgaren skimmen bijvoorbeeld, kun je je focus als beschermingsmaatregel ook vooral op die landen concentreren. Ik kan me goed voorstellen dat het verdachter is een nieuwe inlog in KroatiŽ te hebben dan op het patteland in BelgiŽ, om maar wat te noemen.
Juist, dat vermoed ik ook. Sinds kort worden pinpassen in het buitenland standaard geblokt en moet je ze vrijgeven als je bijvoorbeeld op vakantie gaat. Voor online bankieren werkt dat natuurlijk niet en is dit een volgende stap om deze steeds toenemende fraude tegen te gaan.
Schijnveiligheid is ook gevaarlijk. Deze aanpassing van ING maakt het systeem volgens mij niet veiliger dan het al was. Er was al two factor authenticatie voor transacties en dat gaan ze nu ook doen bij het inloggen.
Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.
Het is altijd een afweging tussen risico en gebruikersgemak. Als je het ultiem veilig maakt, dan is de beste oplossing het onmogelijk maken van elke transactie. Gewoon naar de balie komen in persoon met legitimatie, je bankpas, geheime codes, iris scans, vingerafdruk en voice recognition (ofzo), en pas dan kan je dat tientje overmaken naar je vriend om je barrekening van de vorige avond te voldoen. Of is dat toch niet zo heel handig?

Banken nemen gewoon bewust een risico op misbruik. Dat is ingecalculeerd. Als er misbruik gemaakt wordt van het inloggen, dan vergoedt de bank de schade. Dat kost veel minder dan een stringentere beveiliging kost in termen van kosten van die beveiliging plus de kosten van weglopende klanten omdat ze je rekening niet handig te gebruiken vinden.
Lijkt me een goede zet van de ING. Ik kan het als klant in elk geval waarderen.
Ik ben onder het motto "verbeter de wereld, begin bij jezelf" afgelopen jaar overgestapt naar Triodos, maar ik moet zeggen dat ik de ING qua gebruiksvriendelijkheid ernstig mis! Die betaal-app werkt geniaal en internetbankieren was ook way makkelijker. Sinds die stomme random-reader van triodos kijk ik nauwelijks nog op mijn rekeningoverzicht, gewoon omdat het irritant is.
Je kunt bij Triodos ook toegang krijgen via een login + password toch? (althans op bankieren.triodos.nl staat die optie er wel)
Dat is alleen mogelijk als je alleen een spaarrekening hebt. Zodra je ook een betaalrekening hebt zit je aan die randomreader vast.

Waar ik mij trouwens nog het meest aan irriteer is dat de cijfers op de randomreader precies andersom staan als op een pin-terminal. Lekkere usability-flaw.
We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.
Doet mij toch denken aan security trough obscurity, oftewel een wassen neus...

Zie ook: http://nl.wikipedia.org/wiki/Security_through_obscurity
Was idd het eerste waar ik aan dacht: security through obscurity -> snake oil.. Dit is inderdaad helaas meestal geen goed teken.
Dat hoeft helemaal niet. De bank gebruikt een bepaald algoritme om codes te genereren die voor een buitenstaander volledig random lijken, maar voor de bank wel te reproduceren (en dus te controleren) zijn. Het is uiteraard van cruciaal belang dat dat algoritme geheim blijft, anders kan iedereen zijn eigen tan-codes gaan genereren.
Nee, het is van belang dat het algoritme openbaar is en geheime waarden als invoer gebruikt, ten eerste doordat een geheime sleutel beter te beschermen is dan het algoritme, ten tweede doordat de veiligheid van een bekend algoritme in het openbaar getoetst kan worden en ten derde doordat de veiligheid in het geding is wanneer deze gedeeltelijk afhangt van informatie die de aanvaller niet mag weten, maar niet als geheim verondersteld mag worden.
Security through obscurity gaat alleen op voor cryptografie, zoals AES. Het is het principe van Kerckhoff: "A cryptosystem should be secure even if everything about the system, except the key, is public knowledge."

Het algoritme van ING om te bepalen of er wel of niet naar een pac-code wordt gevraagd heeft niets te maken met cryptografie. Ze houden geheim welke variabelen worden meegenomen omdat anders een hacker met gemak die beveiliging kan omzeilen door de juiste variabelen na te bootsen. Net zoals Google hun algortime geheim houdt zodat concurrenten het niet afkijken en websites niet op oneerlijke wijze bovenaan de resultaten komen.
Zoals Kerckhoff het heeft verwoord gaat het inderdaad enkel om cryptosystems, maar de uitspraak geldt ook zeker voor securityprotocollen waarbij een cryptosystem deel uitmaakt. Het op de verkeerde manier combineren van cryptosystemen in een protocol kan je security namelijk ernstig ondermijnen. Je wilt dan dat dergelijke fouten worden opgemerkt door een publieke peer review of iets dergelijks. De sterkte van de beveiliging moet enkel in de keys zitten, en niet in de meganiek van het protocol.
Dat was het eerste waar ik ook aan dacht. Heel gevaarlijk, uitgaan van het feit dat men niet weet hoe de beveiliging werkt, dat het daarvoor veilig zou zijn.
Of gewoon een benodigd beveiligingstap zie two-factor authentication:

zie ook: http://en.wikipedia.org/wiki/Two-factor_authentication
Oei ja... als de veiligheid (mede) afhankelijk is van dat de woordvoerder bepaalde dingen niet lekt (en wat dus honderden anderen in dat bedrijf ook weten), dan wordt die info natuurlijk gegarandeerd alsnog wel bekend binnen afzienbare tijd.
"Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek."

Is dit niet een typisch idee van, ik vertel niet hoe het werkt dus is het vast wel veilig. Mij lijkt het juist als bank zijnde dat je wilt dat je systeem zo veilig mogelijk is en niet dat het achteraf in eens blijkt dat je hele systeem niet veilig is.

Overigens vind ik persoonlijk het TAN systeem nogal achterhaald. andere banken zoals Rabo en ABN zijn al over op een random reader/identifier. Waarom ING niet?
Omdat dat ruk is ?

Oh , bah , heb ik mn random reader weer niet bij .

Bij de ING : Telefoon: check .

Ik ken zelfs mensen die ervoor over zijn gestapt , zelf zou ik ook nooit naar zon omslachtig systeemwillen , dit werkt prima en snel .
Bij ASN kan je gewoon van je eigen rekeningen overschrijven naar je andere rekeningen zonder code, maar met alleen je wachtwoord.
Gezien dat erg vaak gebeurt is dat toch echt wel een groot voordeel.
Hou ff op, ING werkt juist prima zonder zo'n onzinnige random reader, mijn vriendin zit bij de Rabo en zit altijd te vloeken op dat die random reader, ook handig was dat ie een keer op vakantie de geest heeft gegeven. (when it rains it pours)

Nee ING is juist makkelijk en volgens mij prima veilig, tenzij je uiteraard te dom bent om internetbankieren te kunnen gebruiken om vervolgens willekeurig mensen je login en tan gegevens gaat verstrekken. En dan zielig te gaan doen op nationale tv (Kassa) dat de bank jou domheid niet gaat compenseren.

Die randomreader is juist achterhaald en ontzettend ongemakkelijk, zeker als je dat ding continu moet meezeulen.
Persoonlijk vind ik dan weer niet die apparaatjes niet handig in gebruik. Mobiel heb ik altijd bij me en inlognaam en wachtwoord ken ik uit mijn hoofd. Ik kan daarmee of op mijn mobiel of elke pc altijd saldo zien en betalingen verrichten. Daar is geen extra apparaatje (dat je nooit bij je hebt of altijd naar moet zoeken) en betaalpas voor nodig. Qua veiligheid lijkt me de random reader beter, maar qua gebruiksgemak is het systeem van de ING onovertroffen.
Omdat als ING overgaat op zo'n #$%^#$% reader, ik geen ING klant meer ben en op zoek ga naar de volgende bank die werkt _zonder_ readers.
In de praktijk verandert er niet veel wat veiligheid betreft. De meest courante aanvallen gebeuren ofwel d.m.v. een trojan-in-the-middle attack of (meer recenter) via een mail waar criminelen je omleiden naar een nagemaakte site en je vervolgens opbellen om je te doen inloggen op de echte site.

Tegen het eerste helpt enkel geŁpdate beveiligingssoftware en bedachtzaam websitebezoek. Bij het tweede vooral gezond verstand en weten dat banken je nooit opbellen met de vraag om even in te loggen op je bankrekeningaccount.

Op dit item kan niet meer gereageerd worden.



Populair: Desktops Vliegtuig Luchtvaart Crash Smartphones Laptops Apple Games Besturingssystemen Rusland

© 1998 - 2014 Tweakers.net B.V. onderdeel van De Persgroep, ook uitgever van Computable.nl, Autotrack.nl en Carsom.nl Hosting door True

Beste nieuwssite en prijsvergelijker van het jaar 2013