Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 162 reacties, 33.780 views •

ING heeft een extra authenticatiestap toegevoegd aan zijn internetbankierdienst. Wie inlogt vanaf een computer die bijvoorbeeld nog niet eerder is gebruikt voor internetbankieren van ING, moet inloggen met een zogenoemde persoonlijke authenticatiecode.

De bank maakte al gebruik van zogenoemde tan-codes bij het bevestigen van betalingen; de nieuwe pac's worden daaraan toegevoegd als een extra stap in het authenticatieproces. Dat heeft de bank maandag bekendgemaakt. De directeur Verkoop en Service Internet van ING noemt de nieuwe authenticatiestap een 'uitbreiding van het tan-systeem'.

Er wordt gevraagd om de zogenoemde pac-code als gebruikers 'anders inloggen dan normaal'. "Het gaat daarbij om een aantal variabelen", zegt woordvoerder Daan Heijbroek van ING. "Een daarvan is de locatie. We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.

De codes kunnen net als tan-codes zowel via sms worden verstuurd als op een papieren lijst worden aangeleverd. Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie. Gebruikers van papieren lijsten ontvangen binnenkort een nieuwe lijst waarop ook pac's staan.

De manier waarop ING authenticatie bij het inloggen inschakelt, doet denken aan de two factor authentication-implementatie van Facebook en Google. Als gebruikers die functionaliteit hebben ingeschakeld en vanaf een nieuwe locatie inloggen, krijgen ze een verificatiecode per sms.

Reacties (162)

Reactiefilter:-11620159+1108+211+30
Moderatie-faq Wijzig weergave
Klinkt als RSA Adaptive Authentication.

Edit:
Inderdaad, ING Direct had het in 2006 al.

[Reactie gewijzigd door PcDealer op 20 november 2012 10:45]

Nog steeds niets verbeterd aan het feit dat als je je telefoon kwijt raakt men met een 5-cijferige cijfercode bij al je saldi kan.

Vergeten gebruikersnaam kan naar mobile worden gestuurd
Wachtwoord kan met mobiel worden gereset
Overschrijvingen kunnen middels tan-code op mobiel worden gemaakt

Zou het een stuk fijner vinden als je, zoals bij andere banken, via mobiel alleen kunt overmaken naar adressen die al in je adresboek staan, of dat er een maximum aan is verbonden.
Ik snap niet dat jij plus 2 krijgt want het klopt gewoon niet wat je zegt.
Je kan je wachtwoord opvragen niet je gebruikersnaam. Deze wordt gevraagd icm pasgegevens om je wachtwoord op te sturen. En waarom is een 5 cijferige ( onbekende!) cijfercode niet goed genoeg? ga jij die maar kraken als dief. Als of dat met een beetje gokken gaat lukken. Heb je ooit zo iemand een pincode zien ontcijferen? daar moet hardware voorgemaakt worden om het te skimmen.

En er is een maximum aan verbonden 1000 euro. Naar je eigen rekeningen is er geen limiet ( het blijft immers bij jezelf )
Het is niet zo onveilig zoals jij het nu voorstelt.

Als je je bankpas kwijtraakt heb je alleen een 4-cijferige code nodig om niet alleen bij je saldo maar ook bij je geld te kunnen. Dus wat is er nu dan onveiliger? Bovendien hebben de meeste mensen ook nog een toegangscode op hun telefoon zodat je niet eens bij de app komt en blokkeert de app na drie pogingen. Weinig kans dat je dus de code raadt.

Gebruikersnamen worden niet naar je mobiel gestuurd bij de ING. Ben je je gebruikersnaam vergeten dan moet je eerste een lange procedure doorlopen waarbij ze om allemaal gegevens vragen waaronder je bankpasgegevens. Daarna pas wordt je gebruikersnaam naar je huisadres verstuurd. Behoorlijk veilig dus.

Wachtwoorden kunnen wel gereset worden op je mobiel, maar dan moet je wederom een lange procedure doorlopen en allerlei gegevens opgeven. Aan de mobiel heb je dus niet genoeg.

Tan-codes worden inderdaad naar je mobiel gestuurd, maar kan geblokkeerd worden wanneer het toestel kwijtraakt, net als je een bankpas kan blokkeren die je kwijtraakt. Bij een bankpas heb je dan alleen nog maar een pincode nodig, terwijl je bij de ING ook nog een gebruikersnaam en wachtwoord nodig hebt.

Samengevat, verlies je je telefoon, dan hebben ze (tijdelijk) toegang tot je Tan codes. Het wachtwoord kun je achterhalen, maar dan heb je wel persoonlijke gegevens nodig. Een telefoon is dus niet genoeg, je hebt ook iemands portemonnee nodig en nog meer. De gebruikersnaam kun je niet in korte tijd achterhalen omdat dat via de post gaat. Iemand die je telefoon vind heeft dus bij lange na niet genoeg om ook je rekening te plunderen. Zelfs al je je Tan codes niet blokkeerd ,wat heel dom is, kan de vinder bijna onmogelijk aan je geld komen.

Op zijn minst vind ik het even veilig als de systemen van andere banken omdat je drie zaken nodig hebt om geld over te maken (gebruikersnaam/wachtwoord/telefoon), waarvan een fysiek ding. Bij andere systemen heb je aan twee zaken genoeg (bankpas/pincode).
Er is een maximum aan verbonden. Je kan geloof ik niet meer dan 500-600§ overmaken met de app van ING. Daarnaast zal je toch eerst die 5 cijferige code moeten hebben om uberhaupt ergens bij te kunnen. Als je als gebruiker zo dom bent om je code op je telefoon op te slaan, zodat bij diefstal/verlies van je GSM alles bekend is bij de dief/vinder, dan verdien je het haast dat je rekening wordt leeg getrokken.

Ik ken niet de precieze procedure van het opvragen van je gebruikersnaam op de mobiel en/of het wachtwoord resetten. Heb in het verleden 1 of 2 keer gehad dat ik het wachtwoord 3x verkeerd intikte, daarna kon ik tot een week niet meer internetbankieren, vanwege een geblokkeerd account. Toen moest je wachten totdat de brief bij het postkantoor lag en die moest je met je ID en bankpas ophalen. De 2de keer kreeg ik een blanco envelop thuis, waarna je via een aantal stappen je acount weer vrij kon schakelen.

Die Tancodes per SMS vind ik prima. Je moet als dief dan beschikken over de gsm, gebruikersnaam en het wachtwoord. En een random reader? Daar kan de dief met bankpas, code en random reader net zoveel schade aanrichten. Enige verschil is dat men de gsm eerder zal missen dan een random reader en dat je als gebruiker eerder je gsm bij je hebt dan je random reader. win-win situatie in mijn ogen voor de ING methode.
Win-Win is niet waar natuurlijk, Ik ben ook heel erg blij met het gebruiksgemak van de ing, maar ik vind wel degelijk dat de random-reader methode veiliger is. Voornamelijk omdat je je wachtwoord in moet geven in een pc de een keylogger kan hebben, en je tancode ontvangt via sms op je smartphone, die ook gehackt kan worden om alle sms-jes van "ING" niet te laten zien maar wel door te sturen.

Ik geef toe dat het erg knap is van een eventuele hacker om dit op de twee apparaten voor elkaar te krijgen, maar het is altijd een stuk waarschijnlijker dan het stelen van de pinpas en het achterhalen van je pincode (plus, als dat zou gebeuren bij een ing-klant heeft deze toch ook een probleem).
En een bankpas kan geskimmed worden bij een bank en/of supermarkt, waardoor ook je pincode bekend is. Als men dan je random reader in handen krijgt heb je een net zo'n groot probleem als bij de methode van ING. Als het algoritme van de random reader gekraakt is/wordt, hebben ze die helemaal niet meer nodig. Want ondanks de naam, is het niet zo random als de naam behelst. Anders zou de bank nooit de code kunnen controleren.

De methode van het scheiden van de TAN-codes via SMS en inloggen via een PC is heel slim. Want je kan dan misschien wel gehacked worden op beide apparaten, maar dan moeten ze het wel voor elkaar krijgen om de juiste combinatie te vinden van login PC en mobiele nummer GSM.

Uiteindelijk denk ik dat beide methoden niet veel voor elkaar onder doen. Zover ik weet moet een bank ook aan bepaalde veiligheidseisen voldoen en zal er behoorlijk veel kennis in huis zijn over wat wel en niet mogelijk is. Wij tweakers denken vaak alles beter te weten, maar een bank zal ook niet over 1 nacht ijs gaan. ;)
Volgens mij is de grote fout dat je een wachtwoord reset via een sms kan doen.
Eerst was dit via een brief op je adres, (misschien ook niet super-veilig, maar al een heel stuk beter omdat je nu ook het adres nodig hebt, en vooral omdat er een aantal dagen over heen gaan).

Ik snap dat dit niet gebruikersvriendelijk was, maar ergens moet je een grens trekken lijkt mij, als je je pincode vergeet kan je die ook niet via een sms resetten....
Ga naar een andere bank...

Ik vind dit veel prettiger en velen met mij.

Volgens mij staat ook duidelijk in de voorwaarden dat je diefstal/verlies direct dient te melden. Net als bij creditcards en vele andere zaken overigens.

En vooralsnog moet ik de eerste nog zien die het echt geld kost (op persoonlijke context ipv dat de bank het vergoed).
Dus je krijgt een SMS op het zelfde device als waar je de TAN codes op krijgt?

Weinig extra veiligheid als je het mij vraaagt. Je had altijd al een password en de telefoon nodig om geld over te kunnen schrijven. Enige voordeel is dat hackers je saldo niet meer kunnen zien :?
Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon. Je kunt overboeken met telefoon. En deze 'extra beveiliging' werkt ook via de telefoon? Om de een of andere reden geeft dit het gevoel dat het voornamelijk een extra handeling gaat worden die je soms zal moeten gebruiken. Hoe het hierdoor veiliger gaat worden is mij een raadsel eigenlijk.
Hoezo niet veilig Rupie? Een hacker moet je loginnaam hebben. daarnaast je wachtwoord, vervolgens dezelfde pc op dezelfde plaats gebruiken of beschikken over JOU telefoon om uberhaupt in te loggen. om gegevens opnieuw op te vragen, is je bankpas nodig, je geboorte datum je naam en adres. Vervolgens moet een hacker op je fysieke adres je post van ING onderscheppen die overigens in een blanco envelop wordt opgestuurd.

Vervolgens moet de hacker wanneer hij dit alles voor elkaar gekregen heeft ook nog deze gegevens ter verificatie op internet invoeren.

Ik denk dat het makkelijker is gewoon de voordeur te forceren en de autosleutels mee te nemen!!!

Wanneer je je telefoon niet meer hebt dan blokkeer je je nummer en dan komen er ook geen tan codes of pac codes meer aan op het toestel. Dus wat is precies het probleem??

Deze functie is puur bedoelt voor wanneer een hacker ongemerkt je gegevens te pakken krijgt en probeert in te loggen. Ik snap alleen niet hoe mensen nog steeds in die mailtjes trappen van valse banken. Als je het niet vertrouwt en het lijkt wel echt kun je ook altijd valse gegevens invoeren. als je dan toch door het eerste scherm komt... dan weet je direct genoeg. ik typ voor de gein altijd "Fuck you" in bij gebruikers naam zodat ik de hacker even laat weten wat ik van hem denk als hij de valse gegevens van mij binnen krijgt.

Ik vraag me alleen nog steeds af hoe het met outlook mogelijk is dat je een email adres kunt masken en er gewoon info@ing.nl van kunt maken... dit zou gewoon niet moeten kunnen! want dat zou een hoop schelen als je het daadwerkelijke email adres van de hacker te zien zou krijgen, dan zou je daar eens lekker een spam bot op los kunnen laten. Ik vraag me ook af waarom ze die gasten niet gewoon simpel kunnen achterhalen.

[Reactie gewijzigd door sygys op 20 november 2012 10:39]

Rupie zet geen vraagtekens bij de veiligheid, maar bij de toegevoegde veiligheid van deze pac-codes. ING had al two-factor authentication: je moet inloggen met iets dat je weet (username/password) en iets dat je hebt (tan-codes via SMS naar je mobiele telefoon - ik gok dat weinig mensen ze nog op papier gebruiken).

Nu zegt ING het veiliger te maken door inloggen extra te controleren en verdachte logins een extra check te geven. Vreemd genoeg gebruiken ze exact hetzelfde kanaal voor die pac-codes als de tan-codes, namelijk een SMS. Met andere woorden: hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen, en dat is nu nog steeds zo. Het zou pas echt veiliger zijn als er om een derde factor zou worden gevraagd ipv die pac-codes, zoals iets dat de gebruiker is: een scan van de vingerafdruk of iris.

Het tweede deel van je verhaal - spoofen van e-mailadressen voornamelijk - bestaan al oplossingen voor maar ze zijn nog niet breed in gebruik genomen. Kijk eens naar DKIM en SPF.

Edit: ik was vergeten dat je bij de ING in kan loggen zonder code via SMS, dat voegt deze pac-code wel toe. Het maakt het iets lastiger om er achter te komen of het de moeite waard is om je telefoon te stelen :P want daarna gaat het verhaal over je rekening plunderen nog steeds op. Dus tenzij inzicht in je saldo, bij- en afschrijvingen een gevoelige kwestie is (chantage?) voegt dit imo weinig praktische veiligheid toe.

[Reactie gewijzigd door Rafe op 20 november 2012 11:35]

Ik gebruik bewust geen SMS. Het waarom laat ik even achterwege.

Kortom: ik gebruik TAN codes op papier.... De username en pass ken ik uit m'n hoofd. Hiermee kan ik overal inloggen zonder mijn TAN-lijst nodig te zijn. Alleen bij het doen van een transactie moet ik deze erbij pakken.

Maar nu komt er dus een 2e papieren lijst die ik al nodig ben bij het inloggen? Dus even snel kijken wat er bij en af geschreven is kan niet "zomaar" meer.... what the @#$#@$
ik gok dat weinig mensen ze nog op papier gebruiken).
Gebruik ze wel degelijk nog op papier. Neem TAN lijst mee als ik naar buitenland ga en doe niet aan SMS. SMS is gewoonweg te onveilig, bijvoorbeeld omdat je bij een gestolen telefoon waarop je geen "pin code" hebt het risico loopt dat je tot alles toegang geeft.

Het voordeel van een papieren lijst is dat je deze gewoon ergens kan opbergen, er niet de hele dag mee rond hoeft te lopen. Zelf heb ik een foto kopie gemaakt van de tan lijst waarbij deze is verkleind tot A6 formaat, zit gewoon ergens waar ik het weet. Jatten ze mijn phone, dan geen nood, kan ik gewoon nieuwe telefoon bestellen zonder phone nodig te hebben.

Daarnaast gaat een TAN lijst niet kapot, heb je ook geen last van keyloggers in je tan lijst, of app's die je sms'jes onderscheppen.
Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren.Er zijn genoeg criminele groepen die gebruik maken van 0days al dan niet verstopt in de reclame op diverse websites waarna de PC van een ING klant over genomen kan worden.Wat maakt die PC op een andere locatie dan nog uit?Het is gewoon half werk.Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.
Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren
en dan kan je dus alleen saldo inzien.

Nu is het zo dat je zelfs om maar in te kunnen loggen van je afrikaanse verbinding je een extra code nodig hebt die niet via de internetsite te achterhalen valt..
Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.
digipas? nog nooit van gehoord, vast een heel select groepje zakelijke klanten dat dat heeft (die vermoedelijk uit een overname van een andere bank komen)
Dan nemen ze mijn pc over, maken een betaling aan. En terwijl ik heel wat anders doe krijg ik een sms met een TAN code. Daar hebben die hackers toch niks aan?
hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen
Dat is nogal wat volgens mij. En dat is ook het punt van Damsplaat.
Totdat iemand je telefoon ongemerkt weet te forwarden naar een ander nummer. Onwaarschijnlijk? Lees dit maar eens, een erg interessant artikel uit wired:

This past summer UGNazi decided to go after Prince, CEO of a web performance and security company called CloudFlare. They wanted to get into his Google Apps account, but it was protected by two-factor. What to do? The hackers hit his AT&T cell phone account. As it turns out, AT&T uses Social Security numbers essentially as an over-the-phone password. Give the carrier those nine digits—or even just the last four—along with the name, phone number, and billing address on an account and it lets anyone add a forwarding number to any account in its system. And getting a Social Security number these days is simple: They’re sold openly online, in shockingly complete databases.

Prince’s hackers used the SSN to add a forwarding number to his AT&T service and then made a password-reset request with Google. So when the automated call came in, it was forwarded to them. Voilŗ—the account was theirs.
In Nederland is er geen operator die SMS forwarding aanbiedt....
Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon.
Succes daarmee.....
Nee, dat kan dus niet. Het wachtwoord wordt zowieso nooit af gegeven. Dat kan alleen gereset worden en dat is een uitgebreide, langdurige procedure waarvoor je eerst je account moet blokeren en daarna een brief thuis gestuurd krijgt.

Nee, zo simpel is het niet. De beveiliging is wellicht niet perfect maar op sommige gebieden toch wel behoorlijk sterk.
Sinds een wijziging in 2010 is dat niet meer zo: [Risico] Aanpassing wachtwoord-retrieval MijnING.nl
Dat is niet waar. Ik heb het vanmorgen nog gedaan.
Je moet de gegevens van je bankpas hebben, je inlognaam en je telefoonnummer (en dus ook de telefoon)
Via sms krijg je een tijdelijk wachtwoord waarmee je 30 min kan inloggen om een nieuw wachtwoord aan te maken.
Voor mij handig, want ik zit momenteel in het buitenland
Typisch. Als je op consumentenfora gaat zoeken zie je veel klachten van mensen die moeten wachten totdat ze een nieuw password op het postkantoor kunnen ophalen....
Heel vreemd, want de procedure bij 3 keer fout wachtwoord is:
* per post een brief dat je nieuwe wachtwoord wordt gezonden naar een postagentschap
* na 5-7 dagen ligt nieuwe wachtwoord klaar bij dat agentschap
* brief en geldige legitimatie nodig om wachtwoord op te halen.

[Reactie gewijzigd door Wim-Bart op 20 november 2012 16:19]

Je kan je gebruikersnaam neit achterhalen met pas en telefoon. Je kan alleen je wachtwoord opvragen via je telefoon als je dat als tanfunctie hebt ingesteld. Het is onmogelijk met welk onderdeel dan ook of alleen je gebruikersnaam, of alleen je wachtwoord of alleen je pac / tan om aan de rest van de codes te komen.

Het is alleen mogelijk via man in de middle of als je letterlijk de codes afhandig maakt van de gebruiker. Dus telefoon / pas en of tanlijst steelt. Dat is wel erg extreem.
Lijkt me heel veel extra veiligheid. (zonder in te leveren op gebruikersgemak.)

Bijvoorbeeld omdat je met het zien van saldo en laatste bij-afschrijvingen heel makkelijk een paypal account kan koppelen aan een lopende rekening.

Ik zeg niet dat ik 100% tevreden ben over de veligheid van internetbankieren bij de ing (zeker omdat je tegenwoordig ook je wachtwoord kan veranderen via sms-codes), maar dit is zeker wel een stukje veiliger dan eerst.
Het is een kwestie van tijd natuurlijk wanneer ook de virusmakers hier op in gaan spelen en ook via man in de middle deze PAC code proberen te ontfutselen. Maar ik denk dat het hier gaat om locatie gebonden inlogsessies. Dus dat deze PAC code niet werkt op een andere locatie alleen maar op dat moment bij de gebruiker waar hier om wordt gevraagd.

Dit is meer bedoeld denk ik om onterechte blokkades te voorkomen wanneer ING denk dat het om een fraudepoging gaat waarbij de inloggegevens in bezit zouden zijn van een fraudeur. Daar kan nu een scheiding in gemaakt worden.

[Reactie gewijzigd door maradesign op 20 november 2012 10:23]

En dat de "Paypal" zwendel niet meer mogelijk is hierdoor. Daar had je uitsluitend de login voor nodig.
Het grote voordeel is dat de hele PayPay-scam niet meer werkt en da's best goed nieuws.

nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

Bij PayPal hoef je namelijk alleen maar twee bijschrijvingen kunnen inzien om het rekeningnummer (met automatische incasso) te kunnen gebruiken. Dat kon voorheen dus al met gebruikersnaam en wachtwoord, want dan kon je bij de af- en bijschrijvingen. Nu zit daar dus die extra code tussen, zodat je ook nog iemands telefoon (of alleen het smsje) moet zien te onderscheppen.
Dat is hooguit bijvangst. Paypal zou namelijk de veiligheid niet enkel van een kanaal van een derde met semi-ongedefinieerde en niet gegarandeerde veiligheidseigenschappen moeten laten afhangen.
Niet alleen je saldo, ook de details van vorige transacties. En sommige online betaalsystemen valideren nieuwe accounts door een kleine transactie te doen via incasso, waar dan in de omschrijving de activatiecode staat.

Als aanvaller kon je voorheen zonder two-factor authenticatie toegang krijgen tot die transactiegegevens om een online account koppelen aan andermans bankrekening.

Edit: ah, dat zij ari ook al: ari in 'nieuws: ING schakelt two-factor-authenticatie in bij inloggen'

[Reactie gewijzigd door Orion84 op 20 november 2012 12:45]

Misschien een stomme vraag, maar hoe moet ik sms ontvangen op mijn computer, want een mobiel heb ik niet. :?
Voor jou is het papiertje met codes uitgevonden. Die iedereen gewoon kan kopieeren en die je kan kwijtraken, zodat je account makkelijker binnen te komen is dan via sms.

(die papieren versie moet er gewoon uit.. en tan codes via SMS kunnen ze beter vervangen door een random reader die iedereen gewoon mee kan nemen in de tas maar waar je niets aan hebt zonder bankpas en pincode)
iedereen zo maar kan kopieeren
Moeten ze wel eerst inbreken. Mijn mobiel loopt een groter gevaar te worden gestolen.
Ik sluit me vooralsnog bij je aan.

Als banktrojans de meest significante aanvalsvector vormen op het moment dan gaat dit de oplossing daarvoor in elk geval niet bieden. Wat wel kan bijdragen en mogelijk gerelateerd is, is dat banktrojans steeds beter de context (browser, etc) moeten imiteren of nadoen om niet server-side gedetecteerd te worden. Dat hoeft echter niet bij het inloggen te gebeuren, maar kan gewoon bij de transactie plaatsvinden.

Sterke authorisatie van apparaten is prima in veel omgevingen, maar in dit geval lijkt het bijzonder weinig toe te voegen.

[Reactie gewijzigd door Rukapul op 20 november 2012 11:53]

Indien ze gebruikers duidelijk genoeg maken dat ze die codes puur en alleen moeten aanvragen op momenten dat ze echt op een nieuwe locatie zijn en anders nooit kan het een nuttige toevoeging zijn, maar in essentie veranderd er eigenlijk niets en is het niet eens echt two factor authenticatie, want de factoren zijn aan elkaar gelijk. (Niet zoals bij andere two factor systemen waar bijv. mobiel+desktop de twee factoren zijn.)
het lijkt me dat het net als met TAN codes zo werkt dat je de code krijgt toegestuurd zodra je hem nodig hebt. en enkel en alleen dan.
Dat staat ook in het artikel: "Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie."
Daar moet ik even rekening mee houden. Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.
Goede zaak, hier sta ik volledig achter!
Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.

Hoop voor ING dat ze er gelijk een checkbox 'tijdelijke locatŪe' bij hebben gemaakt die de geldigheid van die pc gelijk wist als je uitlogt.
Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.
Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was. De misbruiker moet dan toegang hebben tot die specifieke PC en weten dat dat de PC is die jij gebruikt hebt.

Stel dat je in je in een jaar toegang hebt gehad met de ING op 100 PC's (wat al excessief is volgens mij) dan zijn dat altijd nog veel minder potentiele lekken dan de honderden miljoenen PC die er op de wereld zijn. Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe. Dus zelfs als het gebeurt, wat al een veel kleinere kans is volgens mij, is er qua onderzoek veel meer uit te zoeken.

Ik denk dat misbruikers liever een verbinding over een aantal data centers willen laten lopen om het spoor zo moeilijk mogelijk te maken, dat gaat nu niet meer.

Dus nee, misbruik is niet volledig onmogelijk maar ja, het is wel een stuk lastiger en beperkter geworden. Ik denk dat de telefoon stelen en dan als de bliksum geld overmaken gemakkelijker is.

[Reactie gewijzigd door pe1dnn op 20 november 2012 12:06]

Mee eens en ben blij dat ze blijven ontwikkelen. Het is een relatief kleine stap wat al veel misbruik zal gaan voorkomen.
dus ik kan geblindoekt het spoor hier over steken, er rijden maar zo'n 10 treinen heen en 1 treinen terug... als het voorbrij razen 1 minuut doort heb je dus meer kans op niet geraakt te worden...

GOED punt om daar je persoonlijke veiligheid op te baseren.

alleen al het feit dat men geen openheid bied in de manier waarop wordt beveiligd, (security by obscurity), is een compleet foute instap, (dat leer je al in klas 1 mbo ict...

dat je dit voor thuis op 1 pc' kunt uitschakelen zou al erg genoeg zijn maar begrijpelijk, de rest zo moeten gaan via smstjes of andere losstaande factor...

bijv door een code die je weet, en een code die je pas kunt weten op het moment dat je hem nodig hebt..
Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was.
Nou ja, als een "minder-eerlijke" persoon een internet-cafe heeft juist om te kunnen sniffen / keyloggen / whatever, dan kan ik automatisch ook meteen bij de goede machine.

Maar ik ben het wel met sundace eens ja, de tweede keer is net zo riskant als de eerste. Dus na de eerste keer succesvol inloggen zou je eigenlijk een optie moeten krijgen "sla deze locatie wel/niet op voor toekomstig gebruik".
Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe.
Ergens heb je een punt, maar ik ga toch liever voor de "voorkomen is beter dan genezen"-aanpak.
Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.
Niet juist;

De bank ziet dat je in Nederland woont en normaliter vanuit Nederland inlogt. Log je vanaf het buitenland in, wordt er vermoedelijk ELKE KEER een tan code gevraagd...

Niet alle details van het systeem zijn immers bekend gemaakt :-)
Dat zou erg vervelend zijn. Internetverkeer op mijn werk gaat via een franse server. Iedere inlog daar is dus 'vanuit het buitenland'.
Je moet je om te beginnen natuurlijk afvragen of je wel (vaker dan incidenteel) wil inloggen op je privťrekening vanaf je werk, maar goed. Stel dat je dat zal doen, dan gaat dat systeem vast wel doorhebben dat je dat regelmatig doet en je systeem dus vertrouwen.
Bankzaken doe ik thuis. Niet op het werk. Op het werk werken we tenslotte voor de baas :D
Je kan natuurlijk wel even checken of je salaris al is overgemaakt. :P
Het systeem vraagt jou niet om die variabelen in te vullen, dat doet het systeem zelf. En aan de hand van de waarden van die variabelen bepaald het (de ING) of het al een vertrouwde locatie is, of dat je nog eens extra moet bevestigen mbv die pac code.
Het lijkt me dat je wel de toestemming op pc's kunt weghalen? Zo werkt het bij Microsoft momenteel ook voor Windows 8 en Windows Phone. Ook facebook heeft deze mogelijkheid

[Reactie gewijzigd door Martinspire op 20 november 2012 12:12]

ik zou eigenlijk aannemen dat een pc pas vertrouwd is vanaf 3-4 veilige aanlogs in een kortere periode (b.v. 2 weken)
Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.
Leuk, totdat je in een regio of land komt waar je geen mobiel kunt gebruiken. Zat plekken in Afrika en Azie waar je wel internet hebt, maar geen mobiel bereik (of zelfs bv zoals in Myanmar helemaal geen mobiel netwerk). Ik vind het dus helemaal niets. Of men moet je de mogelijkheid geven om die SMS TAN route te omzeilen.
Geen paniek, er zijn natuurlijk oplossingen voor alle situaties, zelfs als je naar Myanmar gaat.
Bijv. een PAC / TAN lijst op papier meenemen :-)
vergeet dan niet je voicemail uit te zetten.
Hoezo dat? ik gebruik ook ING en heb voicemail er op staan. Dus ik zie het probleem niet zo?
VOicemail is nogal duur in het buitenland....
Wat dacht je van mensen die je voicemail inspreken op vakantie......
LOL! Die heb ik nog nooit aangehad. ;)
Maar mijn data moet ik inderdaad wel uitzetten.
Zodra jij met mijn account probeert in te loggen met mijn login/paswoord zal je de tan code ook nodig hebben. Los van het feit dat je sowieso al geen geld kon over maken kun je nu ook mijn bankzaken niet meer inzien wanneer je mijn login/paswoord bemachtigt. Dus er is wel degelijk een verschil.
Wanneer ik met jouw login/pass in probeer te loggen wordt dus om de nieuwe PAC gevraagd, niet om de TAN.
De TAN wordt pas gevraagd bij bevestiging van een betaalopdracht zoals gebruikelijk.
Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet :Y)
Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet
Je moet bij een 'onbekende' locatie dus 4 dingen invoeren/weten:
1. login naam (inloggen - uit het hoofd)
2. wachtwoord (inloggen - uit het hoofd)
3. PAC (inloggen - via SMS, je kunt dan alleen in het account rondkijken)
4. TAN (transactie doen - via een tweede te ontvangen SMS, per transactie)
Dus PAC en TAN zijn niet gelijk.

[Reactie gewijzigd door Fireshade op 20 november 2012 11:53]

Hij doelt erop dat beide een code zijn, die extra moet worden ingevoerd. Wat je met die code doet verschilt inderdaad.
tan en pak zijn WEL gelijk... namelijk in Die zin, dat:

ik heb een keylogger, of een database met wachtwoord hashes... (waar de jouwe ook in staat)...

nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...
je wachtwoord hash is op zoveel manieren te achterhalen,

in een hoekje kijken totdat ik je in zie loggen op de bank en dan via vinger vet plekken op je toetsenbord een educated guess, OF een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank.... ...

nu zullen dit soort dingen niet altijd bij iedereen werken, maar als het 2 op elke 10 zijn ben je al snel binnen.

mogelijkheden te over.


Hierover verderdenkend,

die randomreader van de rabo is eigenlijk ook een security factor, ik typ er werkelijks mijn pincode op en hoewel ik er ook ideal codes (random) op moet intypene, weet ik bijna zeker dat er 4 toetsen zijn die meer zijn weggesleten dan de 6 anderen...

daarmee wil ik dus vooral aangeven, dat security wel wat lastiger is dan zomaar even 'niet wille zeggen welke variabelen er gebruikt worden' want als DAT een factor is in je beveiliging dan is er binnekort NIETS meer van dit kaartenhuis over...

Wederom een ING FAAL....
leuk, dan heb je een TAN code..... En dan..... Na 1 keer gebruiken is deze toch al vervallen.

Aan de andere kant, TAN code via SMS is onveilig. Omdat een gestolen telefoon al toegang geeft tot transacties.

Overigens, veranderd je IMEI nummer van je telefoon bij ING duurt het bijna 2 weken voordat je Telefoon weer gebruikt kan worden. Dus gestolen telefoon, SIM kaart er uit en dan telebanken, is een no go.
Dat is dan zeker nieuw dat van dat IMEI nummer.

Ik heb van de zomer een nieuwe telefoon gekocht en kon daar gewoon mee internetbankieren.

Daarvoor ben ik ook wel eens van telefoon gewisseld zonder dat dit gevolgen had voor het internetbankieren.

Bij de laatste telefoonwissel werd de dienst wel 48 uur geblokkeerd, maar dat kwam doordat ik ook een nieuwe sim-kaart in gebruik had genomen.
nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...
versus
(...)een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank (...)
Ehm, de eerste is een specifieke aanval gericht op 1 persoon, ja daar kun je de telefoon van stelen, de tweede is een algemene aanval op veel personen tegelijk, lijkt me sterk dat je al die mensen de telefoon/TAN/PAC lijst zal kunnen stelen.
Hoezo werkt het niet? Stel dat een hacker je bank gegevens ontfutseld. en daarmee dus op ing kan inloggen. dit gaat dus straks niet meer, omdat jij op jou telefoon een sms krijgt dat er geprobeerd wordt om in te loggen. Dan weet je ook direct dat iemand je gegvens hebt en kan er actie worden ondernomen. dit is voor mij een welkome feature!

wel vindt ik dat er duidelijk in de sms moet staan waarom je de code ontvangt, zodat oudere mensen en digibeten weten wat er aan de hand is en het ook snappen.

Naar mijn mening een prima feature!

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.

[Reactie gewijzigd door sygys op 20 november 2012 10:24]

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.
urrrrr.... bij ING moet je voor *iedere* overschrijving een TAN code invoeren. Of het nou om een vreemd bankrekeningnummer gaat of niet.
Niet via de smartphone app. daar kan het zonder tan.
maargoed daar heb je deze PAC ook niet bij nodig lijkt me.
Die smartphone telefoonnummer staat dan ook geregistreerd bij ING - daarom hoef je geen TAN meer in te vullen. Lijkt me dan overbodig bij gebruik van de app.
Wil je vanaf een andere smartphone-telefoonnummer kunnen bankieren, dan moet je dat nummer (ook) registreren bij ING.
Nog veel leuker, je IMEI zelfs. Probeer maar eens te telebanken met een nieuwe telefoon, dat moet je eerst doorgeven voor je nieuwe telefoon kan gebruiken.
Da's leuk, maar er hoeft maar een bankvirusje op je smartphone te staan en je bankrekening loopt leeg.

De reden dat TAN codes bestaan is voor two-factor authentication. Two factor authing is niet alleen handig omdat je dubbel verifieert of een persoon is wie hij/zij zegt dat ze is, maar ook omdat je geen single point of failure hebt, e.g een gehackte computer of smartphone.

Toen TAN codes bedacht werden waren er nog helemaal geen smartphones, tenminste, niet zoals ze er nu zijn. Er werd helemaal niet aan gedacht dat de telefoon wellicht ook gehackt kon worden en de tancodes onderschept konden worden. Echter vandaag de dag is dat niet eens meer zo vergezocht; sterker nog, dat soort malware bestaat al.

Vanuit een beveiligingsperspectief is de smartphone app dus eigenlijk gewoon erg slecht ten opzichte van de website. En daar zijn ze zich ook wel bewust van denk ik, anders hadden ze vanaf het begin wel toegestaan dat je ook mobiel zakelijk kon bankieren. Maar zoals zo vaak gebeurd in de programmeer wereld, je programma word ineens populairder dan je verwacht en omdat je er niet op had geanticipeerd in het originele ontwerp, zit je met een uit de krachten gegroeide applicatie. In dit geval WERKT de applicatie goed, maar is gewoon puur door de design keuzes lek. Of het nog echt een probleem word moet nog blijken.
Het is wel degelijk two factor authenticatie. Nu is het zo dat ik met kennis van mijn username/password in kan loggen bij ING. Zomet een heb ik die kennis nodig en komt daar ook bezit bij (of mijn telefoon waarop een code staat, of een lijst met codes).
Dat was het dus al voor transacties en wordt het nu ook voor inloggen. Maar alleen inloggen (read only toegang) is voor boeven niet spannend. Dus two factor authenticatie op inloggen vind ik niet nodig. Is alleen lastig voor de klant.
Het TAN-systeem was en blijft two-factor: Iets dat je weet (wachtwoord) en iets dat je hebt of krijgt (TAN). Dat je nu nog iets krijgt verandert daar niets aan, want dat krijg je via dezelfde weg als een TAN.

@keesdewit hieronder: Dat je codes op papier hebt (lees: dat die codes nou nog steeds niet afgeschaft zijn), is in verband met phishing en gebrek aan controlemogelijkheid van de transactie erg vervelend, maar doet in principe niet aan de two factor af. Ik zeg hierboven al iets dat je hebt (papier) of krijgt (sms). Het enige punt waarop de two factor zou vervallen, is als je internetbankiert op dezelfde GSM waar je ook de TAN en transactiecontrole binnenkrijgt. Dan is het systeem gereduceerd tot ongeveer even onveilig als een random-reader en kwetsbaar voor een op de telefoon resp. pc aanwezig stuk malware.

[Reactie gewijzigd door mae-t.net op 21 november 2012 01:41]

Het tan systeem met voorgedefinieerde tan codes is niet echt 2 factor. Het is wat je weet (gebruikersnaam/wachtwoord) en wat je weet (reeds beschikbare tan codes). Bij een code via sms moet je op dat moment de beschikking hebben over de gsm van de gebruiker. Dit in tegenstelling tot voorgedefinieerde tan codes die je net zo goed overgeschreven/gekopieerd kan hebben.

[Reactie gewijzigd door keesdewit op 20 november 2012 20:44]

We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.
Doet mij toch denken aan security trough obscurity, oftewel een wassen neus...

Zie ook: http://nl.wikipedia.org/wiki/Security_through_obscurity
Was idd het eerste waar ik aan dacht: security through obscurity -> snake oil.. Dit is inderdaad helaas meestal geen goed teken.
Security through obscurity gaat alleen op voor cryptografie, zoals AES. Het is het principe van Kerckhoff: "A cryptosystem should be secure even if everything about the system, except the key, is public knowledge."

Het algoritme van ING om te bepalen of er wel of niet naar een pac-code wordt gevraagd heeft niets te maken met cryptografie. Ze houden geheim welke variabelen worden meegenomen omdat anders een hacker met gemak die beveiliging kan omzeilen door de juiste variabelen na te bootsen. Net zoals Google hun algortime geheim houdt zodat concurrenten het niet afkijken en websites niet op oneerlijke wijze bovenaan de resultaten komen.
Zoals Kerckhoff het heeft verwoord gaat het inderdaad enkel om cryptosystems, maar de uitspraak geldt ook zeker voor securityprotocollen waarbij een cryptosystem deel uitmaakt. Het op de verkeerde manier combineren van cryptosystemen in een protocol kan je security namelijk ernstig ondermijnen. Je wilt dan dat dergelijke fouten worden opgemerkt door een publieke peer review of iets dergelijks. De sterkte van de beveiliging moet enkel in de keys zitten, en niet in de meganiek van het protocol.
Dat hoeft helemaal niet. De bank gebruikt een bepaald algoritme om codes te genereren die voor een buitenstaander volledig random lijken, maar voor de bank wel te reproduceren (en dus te controleren) zijn. Het is uiteraard van cruciaal belang dat dat algoritme geheim blijft, anders kan iedereen zijn eigen tan-codes gaan genereren.
Nee, het is van belang dat het algoritme openbaar is en geheime waarden als invoer gebruikt, ten eerste doordat een geheime sleutel beter te beschermen is dan het algoritme, ten tweede doordat de veiligheid van een bekend algoritme in het openbaar getoetst kan worden en ten derde doordat de veiligheid in het geding is wanneer deze gedeeltelijk afhangt van informatie die de aanvaller niet mag weten, maar niet als geheim verondersteld mag worden.
Oei ja... als de veiligheid (mede) afhankelijk is van dat de woordvoerder bepaalde dingen niet lekt (en wat dus honderden anderen in dat bedrijf ook weten), dan wordt die info natuurlijk gegarandeerd alsnog wel bekend binnen afzienbare tijd.
Dat was het eerste waar ik ook aan dacht. Heel gevaarlijk, uitgaan van het feit dat men niet weet hoe de beveiliging werkt, dat het daarvoor veilig zou zijn.
Of gewoon een benodigd beveiligingstap zie two-factor authentication:

zie ook: http://en.wikipedia.org/wiki/Two-factor_authentication
Waarom de variabelen geheim houden? Security by obscurity is altijd al een slechte methode geweest. Alsof een goede bankleegtrekker niet heel erg snel door kan hebben wat de variabelen zijn? De enigen die in het ongewisse worden gehouden zijn de normale klanten en er zijn genoeg onafhankelijke, onbetaalde security mensen die met plezier hier hun mening/ideeen over willen geven.
Waarom zou je als bank openbaar maken hoe je systemen werken?

Wat heb je aan adviezen van onbetaalde "experts" er is een reden dat ze geen geld verdienen met hun kennis, ze zijn niet goed genoeg.
Oh ja, vandaar dat alle solide betrouwbare security-algoritmen en veiligheidsprotocollen allemaal open source zijn.

Of als een onbetaalde "expert" je op een lek wijst, dan is het niet waar. Zoiets?
Dus? Ze zullen hier heus ook wel opensource security-algorithmen gebruiken maar ze gaan niet vrijgeven hoe het hele systeem in elkaar zit. En generieke systemen zijn wel heel wat anders dan specialistische systemen die gebruik maken van die generieke systemen.

Met je laatste opmerking ben ik het wel eens. Onbetaalde experts kunnen ook betaalde experts zijn maar die vinden een lek in hun vrije tijd bijvoorbeeld. Dus de opmerking die albert7546 maakte over dat ze niet goed genoeg zijn is onzin.
Een goede beveiliging is niet onveiliger als bekend is hoe die werkt.
Dezelfde vraag kunnen we ook omdraaien: waarom zou je dit wel vertellen? Wie heeft er baat bij dat dergelijke beveiligingsmaatregelen tot in de details uitgelegd worden? Als de oplossing gewoon goed in elkaar zit maakt het geen donder uit of ze het nou wel of niet willen vertellen. Ik vind het niet meer dan logisch dat hij het niet wil vertellen; ik zou dat ook niet willen vertellen, en als ik klant van ING zou zijn zou ik ook niet willen dat die meneer dat vertelt.
Omdat je niet altijd alles hoeft vrij te geven? Google geeft ook niet vrij wat alle variabelen zijn bij hun two-factor authenticatie. Ik vind dat er te snel de conclusie word getrokken: "Ze doen aan Security by obscurity". Dit hoeft natuurlijk helemaal niet, aangezien je soms dingen gewoon voor de zekerheid geheim wilt houden. En natuurlijk zouden ze feedback kunnen krijgen van publieke mensen maar wie zegt dat ze eerst niet op de achtergrond meerdere experts naar hebben laten kijken? (En die betaald dat hebben gedaan).
Bovendien, kom op zeg, het is 2012, iedereen weet dat security by obscurity geen goed idee is. Dat weten die professionals van de ING ook wel. Dit is een beetje alsof je aan een wasmachinemonteur vraagt of hij al geprobeerd heeft om de stekker in het stopcontact te steken.
"Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek."

Is dit niet een typisch idee van, ik vertel niet hoe het werkt dus is het vast wel veilig. Mij lijkt het juist als bank zijnde dat je wilt dat je systeem zo veilig mogelijk is en niet dat het achteraf in eens blijkt dat je hele systeem niet veilig is.

Overigens vind ik persoonlijk het TAN systeem nogal achterhaald. andere banken zoals Rabo en ABN zijn al over op een random reader/identifier. Waarom ING niet?
Omdat dat ruk is ?

Oh , bah , heb ik mn random reader weer niet bij .

Bij de ING : Telefoon: check .

Ik ken zelfs mensen die ervoor over zijn gestapt , zelf zou ik ook nooit naar zon omslachtig systeemwillen , dit werkt prima en snel .
Bij ASN kan je gewoon van je eigen rekeningen overschrijven naar je andere rekeningen zonder code, maar met alleen je wachtwoord.
Gezien dat erg vaak gebeurt is dat toch echt wel een groot voordeel.
Hou ff op, ING werkt juist prima zonder zo'n onzinnige random reader, mijn vriendin zit bij de Rabo en zit altijd te vloeken op dat die random reader, ook handig was dat ie een keer op vakantie de geest heeft gegeven. (when it rains it pours)

Nee ING is juist makkelijk en volgens mij prima veilig, tenzij je uiteraard te dom bent om internetbankieren te kunnen gebruiken om vervolgens willekeurig mensen je login en tan gegevens gaat verstrekken. En dan zielig te gaan doen op nationale tv (Kassa) dat de bank jou domheid niet gaat compenseren.

Die randomreader is juist achterhaald en ontzettend ongemakkelijk, zeker als je dat ding continu moet meezeulen.
Persoonlijk vind ik dan weer niet die apparaatjes niet handig in gebruik. Mobiel heb ik altijd bij me en inlognaam en wachtwoord ken ik uit mijn hoofd. Ik kan daarmee of op mijn mobiel of elke pc altijd saldo zien en betalingen verrichten. Daar is geen extra apparaatje (dat je nooit bij je hebt of altijd naar moet zoeken) en betaalpas voor nodig. Qua veiligheid lijkt me de random reader beter, maar qua gebruiksgemak is het systeem van de ING onovertroffen.
Omdat als ING overgaat op zo'n #$%^#$% reader, ik geen ING klant meer ben en op zoek ga naar de volgende bank die werkt _zonder_ readers.
Het artikel lezend vraag ik me af of het om een computer of over het IP adres gaat waar nog nooit eerder van geinternetbankierd is.
Ik mag hopen dat dat niet het geval is, aangezien ik bijvoorbeeld een dynamisch IP adres heb dat regelmatig verandert (iets wat ik kan zien aan de vele veranderde DynDNS entries).
Dat zou betekenen dat ik steeds zo'n pac in zou moeten voeren.

Mij lijkt het waarschijnlijker dat ze gebruik maken van de locatie van IP ranges, waar vaak een bepaalde regio bij hoort. Een en ander kan aangevuld worden met de fingerprint van de browser (versienr., versie, OS, geinstalleerde plugins) en cookies.
Behalve je problemen met een dynamisch IP zou dat ook beteken dat iemand die toch al jouw bankgegevens heeft alleen nog op je netwerk hoeft in te breken om toch weer toegang te krijgen tot je internetbankieren.
Nou ja, da's natuurlijk nog altijd een stuk beter dan iemand die toegang heeft tot je bankgegevens en niet op je netwerk hoeft in te breken.
Of beiden, maar daarover wil de ING dus niets kwijt.

Lijkt me trouwens dat je dit makkelijk zelf kunt testen vanaf volgende week..
Ik denk dat er ook gekeken wordt naar de provider je browser versie e.d. Je kunt veel te weten komen via de browser...
Ik ben benieuwd hoe ze het kaf van het koren willen gaan scheiden qua inlog pogingen.

Ik heb de hele zomer door Europa overal op de iPad m'n Gmail fatsoenlijk kunnen bekijken, pas in KroatiŽ kreeg ik op een "backup" e-mailadres een mail van Google over een "dubieuze" inlog poging vanaf de zelfde iPad. Kennelijk dus omdat het om een Kroatisch mobiel IP-adres ging.

Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.
mobiel bankieren kan mij niet veilig genoeg zijn
Wat mij betreft zit daar toch wel een grens aan. Het moet natuurlijk wel gemakkelijk en bruikbaar blijven.
Je kunt er denk ik toch ook vanuit gaan dat ze het systeem vooral toepassen op regio's waar dit soort criminaliteit vaak voorkomt. Als je weet dat voornamelijk Roemenen en Bulgaren skimmen bijvoorbeeld, kun je je focus als beschermingsmaatregel ook vooral op die landen concentreren. Ik kan me goed voorstellen dat het verdachter is een nieuwe inlog in KroatiŽ te hebben dan op het patteland in BelgiŽ, om maar wat te noemen.
Juist, dat vermoed ik ook. Sinds kort worden pinpassen in het buitenland standaard geblokt en moet je ze vrijgeven als je bijvoorbeeld op vakantie gaat. Voor online bankieren werkt dat natuurlijk niet en is dit een volgende stap om deze steeds toenemende fraude tegen te gaan.
Schijnveiligheid is ook gevaarlijk. Deze aanpassing van ING maakt het systeem volgens mij niet veiliger dan het al was. Er was al two factor authenticatie voor transacties en dat gaan ze nu ook doen bij het inloggen.
Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.
Het is altijd een afweging tussen risico en gebruikersgemak. Als je het ultiem veilig maakt, dan is de beste oplossing het onmogelijk maken van elke transactie. Gewoon naar de balie komen in persoon met legitimatie, je bankpas, geheime codes, iris scans, vingerafdruk en voice recognition (ofzo), en pas dan kan je dat tientje overmaken naar je vriend om je barrekening van de vorige avond te voldoen. Of is dat toch niet zo heel handig?

Banken nemen gewoon bewust een risico op misbruik. Dat is ingecalculeerd. Als er misbruik gemaakt wordt van het inloggen, dan vergoedt de bank de schade. Dat kost veel minder dan een stringentere beveiliging kost in termen van kosten van die beveiliging plus de kosten van weglopende klanten omdat ze je rekening niet handig te gebruiken vinden.
Ik ben onder het motto "verbeter de wereld, begin bij jezelf" afgelopen jaar overgestapt naar Triodos, maar ik moet zeggen dat ik de ING qua gebruiksvriendelijkheid ernstig mis! Die betaal-app werkt geniaal en internetbankieren was ook way makkelijker. Sinds die stomme random-reader van triodos kijk ik nauwelijks nog op mijn rekeningoverzicht, gewoon omdat het irritant is.
Je kunt bij Triodos ook toegang krijgen via een login + password toch? (althans op bankieren.triodos.nl staat die optie er wel)
Dat is alleen mogelijk als je alleen een spaarrekening hebt. Zodra je ook een betaalrekening hebt zit je aan die randomreader vast.

Waar ik mij trouwens nog het meest aan irriteer is dat de cijfers op de randomreader precies andersom staan als op een pin-terminal. Lekkere usability-flaw.

Op dit item kan niet meer gereageerd worden.



HTC One (M9) Samsung Galaxy S6 Grand Theft Auto V Microsoft Windows 10 Apple iPad Air 2 FIFA 15 Motorola Nexus 6 Apple iPhone 6

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True