Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ING gaat na of zijn Chrome-inlogpagina weer wachtwoordmanagers kan ondersteunen

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Die functionaliteit verdween onlangs. Volgens de bank was het niet de bedoeling dat soort software te blokkeren.

Een woordvoerster van de bank zegt tegen Tweakers dat ING klanten niet de mogelijkheid wilde geven hun inloggegevens voor internetbankieren door hun browser te laten opslaan. Een bijwerking daarvan is dat ook wachtwoordmanagers de invulvelden niet meer herkennen, waardoor gebruikers handmatig hun gebruikersnaam en wachtwoord moeten invullen of plakken. De inlogpagina voor Chrome-gebruikers was eerst aan de beurt bij de vernieuwing van de Mijn ING-omgeving, waardoor het momenteel met andere browsers nog wel mogelijk is om gegevens automatisch te laten invullen. ING onderzoekt nu of het mogelijk is om de functie in Chrome ook weer te laten werken.

Volgens de woordvoerster is de huidige situatie 'niet optimaal'. ING zou het gebruik van wachtwoordmanagers niet willen tegengaan, maar zegt ook geen actieve ondersteuning te kunnen bieden voor de verschillende varianten.

De discussie rond de wijziging op de Mijn ING-pagina voor gebruikers van Googles Chrome-browser begon naar aanleiding van een reactie van de ING-klantenservice op de opmerking van een twitteraar dat het invullen van de loginvelden met een wachtwoordmanager niet meer werkte. De klantenservicemedewerker stelde in eerste instantie dat 'wachtwoordmanagers niet worden ondersteund' en kwam later met een iets uitgebreidere uitleg.

Wachtwoordmanagers maken het eenvoudiger om voor aparte diensten een uniek en sterk wachtwoord te gebruiken. Tweakers publiceerde eind 2016 een overzicht van verschillende diensten. Over het algemeen wordt het zonder interactie laten invullen van velden door de browser of wachtwoordmanager afgeraden, omdat dit gevoelig is voor misbruik.

Door Sander van Voorst

Nieuwsredacteur

09-07-2018 • 11:32

117 Linkedin Google+

Submitter: Alien8

Reacties (117)

Wijzig sortering
Een Chrome-inlogpagina? Kan iemand mij vertellen wat ik me hierbij moet voorstellen? Heeft de ING meerdere pagina's om in te loggen, afhankelijk van de browser van de consument?
Ja. De Chrome-versie gebruikt bepaalde webtechnieken die ze in andere browsers (nog) niet gebruiken. Het lijkt erop dat ING voor Chrome de nieuwste webtechnieken wil gebruiken en voor andere browsers nog even wacht op betere ondersteuning van bepaalde browser-API's.

O.a. Lodash en Polymer worden gebruikt. De nieuwe Chrome-versie gebruikt Custom Elements en Chrome is de enige (gangbare) browser die dat momenteel ondersteunt zonder polyfills.

De URL voor de JavaScript-files in de broncode van de Firefox-versie is overigens best interessant: "legacy-scripts/main.js".

[Reactie gewijzigd door StephanVierkant op 9 juli 2018 12:03]

Ik heb het net even geprobeerd met verschillende User-Agent headers, maar krijg telkens dezelfde pagina terug. Dat er dus verschillende inlogpagina's zijn per browser, lijkt mij stug.
Ik heb ing.nl in een spoofed list gezet en de useragent van edge gepakt. Lastpass werkt weer gewoon prima!

Met de extensie: User-Agent Switcher for Chrome -> en dan naar options en dan -> permanent spoof list

[Reactie gewijzigd door Drexz op 9 juli 2018 12:48]

Fantastisch! Ik had zelf egde niet in het lijstje staan en heb internet explorer 10 gekozen en dat werkt ook echt weer als vanouds.

Edit: nee, internet explorer 10 is niet handig, dan krijg je de melding dat je per 1 augustus niet meer kan inloggen, ik heb nu firefox 33 gekozen en dat werkt wel goed.

[Reactie gewijzigd door Hobbykok op 9 juli 2018 13:06]

Ik had inderdaad eerst IE10 en dat gaf die melding.

Firefox 33 kan ook, ik wist niet of dat ook een melding zou geven. Ik gebruik nu deze "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2311.135 Safari/537.36 Edge/12.246"
Werkt perfect! Hartelijk dank.
Chrome krijgt zo te zien een pagina volledig met Web Components (Polymer?). Safari (bijvoorbeeld) krijgt wel degelijk een andere pagina. Visueel is deze hetzelfde, maar de achterliggende code zit anders in elkaar.

Nogal een edge case dat een password manager dan niet werkt lijkt mij :9

[Reactie gewijzigd door JorzoR op 9 juli 2018 12:06]

My mistake inderdaad, was te snel met mijn user-agent selectbox. Chrome is inderdaad de enige met een andere inlog-pagina, elk ander browser krijgt dezelfde pagina voorgeschoteld. Beetje vreemd, maar misschien een vorm van A/B testing?
Zou kunnen dat het een A/B test is. Maar eerder denk ik dat ze gewoon een goed werkende fallback moesten maken voor kritieke pagina's.

De Web Components (Polymer) mindset wordt namelijk ING breed gedragen; vrijwel alle nieuwe projecten die ze daar doen is met deze techniek (heb ik vernomen). Alleen de browser support is er nog niet helemaal.

De berichtgeving over dit password manager probleem vind ik dus wat zwaar overdreven. Dat een password manager niet lekker werkt lijkt mij een edge case. Wel vervelend natuurlijk, ik gebruik t zelf ook. Maar lijkt mij wel iets wat op te lossen valt :)

[Reactie gewijzigd door JorzoR op 9 juli 2018 12:42]

Dat een password manager niet lekker werkt lijkt mij een edge case.
Het is volgens mij voor veel mensen een noodzakelijk iets, anders krijg je overal triviale wachtwoorden.
Voor mij zou het trouwens een reden zijn om van bank te wisselen.
(Terwijl ik nu juist een bank heb die veel veiliger met een reader werkt...)
Ik bedoel daarmee ook niet te zeggen dat het geen noodzakelijk iets is, maar meer iets wat snel over het hoofd gezien kan worden in de ontwikkeling van die pagina.
Dat zegt op zich iets over de security practices binnen de bank. Als het standaardadvies bijvoorbeeld is aan alle medewerkers (wat het volgens mij zou moeten zijn) 'gebruik een password manager en 2FA waar je kan' dan zou dit veel sneller opgemerkt worden.
Ik ken de werkwijze daar niet. Misschien is er wel een afweging gemaakt en was het team op de hoogte van dit "probleem". Het blijft een beetje gissen.

Om dan gelijk te zeggen dat dit iets zegt over hoe een bedrijf te werk gaat ben ik het niet zo mee eens en wat te makkelijk gezegd van een buitenstaander perspectief.
Jij kwam met de verklaring dat het een edge case was. En als het binnen de bank werkelijk als een edge case gezien wordt, dan zegt dat iets over de security practices binnen die bank.

Daarnaast, het is nu 2018, het gaat hier om een van de grootste banken van Nederland, we mogen zo langzamerhand echt wel wat verwachten van de IT van banken. Het gebruik van wachtwoordmanagers zou best practice moeten zijn en dus ondersteund worden door banken, vooral door banken die gevoelige data beschikbaar maken zonder 2FA. Wachtwoordmanagers zijn immers de voornaamste methode om veilige unieke wachtwoorden voor veel sites te genereren en bij te houden. Als dat niet iets is wat standaard in het bewustzijn zit van de devs, (en dat is wat je impliceert met 'edge case') dan klopt er iets niet.
De devs testen niet. Dit moet dus opgenomen zijn in de testrichtlijnen. Het is een "edge case" dat er uberhaupt over moet worden nagedacht dat dit wordt ondersteund. Immers moet je expliciet functionaliteit beperken om Pwd Mgrs niet te ondersteunen. Als devs voornamelijk hun inlog testen met "Wachtwoord1!" zodat ze weten dat er ingelogd kan worden, en "' OR 1=1; DELETE table Users", sluipt dit er makkelijk in als er nooit een probleem mee is geweest, en dus geen testdefinitie voor bestaat.
Als dat de manier is waarop devs te werk gaan dan zegt dat dus iets over de security procedures bij de betreffende bank. En het gaat ook niet alleen om de testrichtlijnen, het gaat gewoon om eigen bewustwording. Als de best practices binnen de hele bank zijn 'gebruik wachtwoordmanagers omdat zelfverzonnen wachtwoorden niet veilig genoeg zijn' dan is dat iets waar je als dev vrij automatisch bij stilstaat als je met een inlogveld aan de gang gaat: 'hee, en de wachtwoordmanagers dan?' Omdat ze dan zelf vaak genoeg hebben meegemaakt dat hun wachtwoordmanager ergens niet werkt, en hoe irritant dat is, maar ook dat ze weten dat als ze dat dan melden aan degene die de nieuwe functionaliteit opgesteld heeft dat serieus moet nemen - want het is immers een best practice binnen de bank om wachtwoordmanagers te gebruiken.
Mwa, dat zou nog steeds een edge case zijn binnen het testproces. Vaak zal het gewoon zijn "Log in met de ingestelde credentials". Daar is nu bijgekomen "en controleer dat Chrome geen optie geeft om wachtwoorden op te slaan."
waarschijnlijk wordt er niet alleen naar user-agent strings gekeken maar ook naar vaardigheden van de browser, welke javascript functies en objecten bestaan en hoe ze bepaalde code parsen.
Dat komt n.a.v. de reactie van ING:
we werken het niet bewust tegen. Er is een nieuwe versie van de inlogpagina uitgebracht voor Chrome browsers. Een gevolg hiervan is dat wachtwoord managers niet in staat zijn om de inloggegevens te onthouden/invullen. We kunnen de werking dus niet continu garanderen.
Klinkt als een update voor Chrome.Met andere browsers schijnt het nog wel te werken.
Dat is gewoon bullshit.
Alle bekende browsers hebben, JUIST om dit soort gefaal te voorkomen, besloten om de autocomplete="off" optie te negeren voor password inputs.

ING heeft (alléén als je met chrome de pagina opent) besloten het veld daarom autocomplete="new-password" te geven. Een optie die specifiek bedoeld is voor formulieren om je wachtwoord te wijzigen (wat dit duidelijk NIET is). De enige reden dat ze deze rare constructie bedacht kunnen hebben is om moedwillig het gebruik van passwordmanagers tegen te gaan.

edit: overigens heeft het password field in andere browsers wél autocomplete="off", maar wordt dat dus *gelukkig* genegeerd. Dit bevestigd nog eens dat ING het beleid heeft passwordmanagers actief tegen te werken. Ik heb hier kort geleden voor mijn werk wat onderzoek naar gedaan. Als je opzoekt waarom autocomplete="off" niet werkt op passwordfields, is het echt onmogelijk om niet ook te vinden waarom het een héél slecht idee is om dat te gebruiken.

[Reactie gewijzigd door mcDavid op 9 juli 2018 17:43]

Geen idee, maar ik kan wel bevestigen dat de Safari (iCloud) Keychain gewoon werkt.
Ja klopt. Het leukste moet er nog bij komen. Want veel toegankelijkheidssoftware werkt ook niet meer in chrome. Het schijnt (volgens Daniel Verlaan) dat de html compleet gesloopt is waardoor de password managers de velden niet herkent. Waarschijnlijk missen ze gewoon de value password en username. Het zal waarschijnlijk een poging zijn om bots tegen te gaan.
het is nu "ing-uic-native-input_0" voor username. Die voor het password staat nog wel op "input type="password" wat dus wel door lastpass oid herkend zou moeten worden lijkt mij, met "gebruikersnaam opslaan" moet dat al voldoende zijn om password managers gewoon te laten werken?

[Reactie gewijzigd door aadje93 op 9 juli 2018 13:07]

Bij het wachtwoord veld staat ook de autocomplete op "new-password", een wachtwoord manager gaat deze dan natuurlijk niet automatisch voor je invullen aangezien hij denkt dat er een nieuw wachtwoord in moet komen te staan.
Die had ik gemist! (Ben geen programeur ;) ). Daar gaat het dus inderdaad fout...
Maar met Lastpass kun je dan toch gewoon één keer handmatig de gegevens in de velden invullen, en dan "save all entered data" doen? Of werkt dat niet met die rare functie van Chrome?
Het is geen rare functie van chrome. Het is een rare functie van ING. Ze misbruiken de autocomplete="new-password" optie op een veld dat helemaal niet bedoeld is voor nieuwe passwords.
Okee, ik heb het even opgezocht, en die zgn. custom elements zijn gewoon html-elementen. Dus dan zou ik verwachten dat bovengenoemde methode gewoon zou moeten werken? Alleen 1 stapje extra werk, vervelend maar geen drama.
Of het met omwegen nog werkt lijkt me niet zo relevant. Het idee is dat je het als bank zo makkelijk mogelijk maakt voor je klanten om veilig te bankieren, want gevoelige data en geld, en het bevorderen van het gebruik van sterke wachtwoorden door middel van password managers zou daar gewoon bij moeten horen.
Als ik 1x even een paar extra kliks moet doen, en het dan voor altijd goed werkt, vind ik het geen drama: er zijn veel meer sites waarbij dat het geval is. Natuurlijk is het wel beter als dat niet nodig is en hoop ik dat ING zich aanpast.
Heb zelf geen ING, maar weet dat Microsoft dit ook doet. Ik gebruik Lastpass en daar zit een optie in om het ook met niet ondersteunde pagina’s te kunnen gebruiken, weet verder niet of dit werkt met ING.
Waarschijnlijk herkent de ING pagina welke browser je gebruikt en serveert je aan de hand daarvan een pagina waar de velden op een bepaalde manier werken
Dat is wel zeker, want de ene Browser laad de vernieuwde ING omgeving veel rapper dan een ander, waarbij Chrome (de laatste keer dat ik het vergeleek), verreweg de snelste was. Op Windows 10 Mobile (ja ja, ik weet het), is het laden van de pagina helemaal dramatisch. Ruim 20 sec. na inlog komt de mijn.ing.nl/banking/overview pagina tevoorschijn. Op W10 desktop met Edge ook al zo'n 8 sec. Met Chrome echter een kleine 2 sec. Dus ja, ze herkennen de browser en laten duidelijk merken waar hun voorkeur ligt.
Gelukkig heeft Rabobank wel begrepen hoe je zo iets aan moet pakken.
Voorkeur, of meer mogelijkheden om de snelheid te maximaliseren?
Gezien de snelheid (en mogelijkheden), die Rabobank via het web bied, bij gebruik van verschillende browsers, lijkt het sterk op voorkeur. De verschillen zijn te groot om het enkel bij de browser neer te leggen.
Bij mij is mijn.ing.nl stuk op Safari in ieder geval... nog steeds! En als-ie wel werkt, is het laadscherm gewoon "leeg".

Prutsers :) Beter laten ze ons dit soort meuk maken, onze software werkt in ieder geval wel en we hebben overal checks in zitten met reporting tools als er iets mis gaat, ook wanneer de gebruiker bijv. opeens alleen maar leeg scherm heeft o.i.d.

[Reactie gewijzigd door Gamebuster op 9 juli 2018 14:00]

Dat issie ook als je de meest recente versie van ms edge op win10 mobile gebruikt
maar zegt ook geen actieve ondersteuning te kunnen bieden voor de verschillende varianten.
Onzin. Zorg gewoon voor een "normaal" inlogformulier zonder trukerij en je support elke wachtwoord manager die er is.
En dat wil ING nu juist niet omdat de standaard wachtwoord managers van browsers dan ook werken. Als ik dan bij jouw computer kan komen dan kan ik (indien je de standaard manager van Chrome gebruikt) inloggen zonder ooit een wachtwoord in te hoeven vullen.
Maar dat is een browser / gebruiker probleem. Niet dat van ING. Jij als gebruiker bent uiteindelijk verantwoordelijk, dat zal de ING ook beamen.
En de gemiddelde Henk en Ingrid moet het verschil kennen tussen wachtwoordmanagers en hoe het wel of niet in verhouding tot elkaar veilig is? Nee de bank is daar verantwoordelijk voor. Ook voor de voorlichting hoe gebruikers op een zo veilige manier kunnen internetbankieren. Het hanteren van verschillende veiligheidsniveaus op bepaalde functies en hoe die geautoriseerd worden is daarbij geen overbodige luxe.
"En de gemiddelde Henk en Ingrid moet het verschil kennen tussen wachtwoordmanagers en hoe het wel of niet in verhouding tot elkaar veilig is?"

Eh, ja. En als ze niet weten welke risico's er zitten aan de technologie die ze gebruiken moeten ze het gewoonweg niet gebruiken.

Als ik in elke browser die ik gebruik een andere gebruikerservaring krijg omdat de bank bedenkt dat ze voor specifieke browsers andere technieken willen gebruiken dan ben ik toch snel weg bij die bank.
Eh, ja. En als ze niet weten welke risico's er zitten aan de technologie die ze gebruiken moeten ze het gewoonweg niet gebruiken.
Dat betekend dat 3/4de van de weggebruikers van de straat geplukt kunnen worden en vrijwel iedereen zijn smartphone mag inleveren.

Mensen zijn dom, dat is een gegeven. Daar dien je als bedrijf netjes rekening mee te houden. Er is hier in Nederland een maatschappelijke verantwoordelijkheid die we van bedrijven verwachten of zelfs wettelijk opeisen.
Je hebt een volledig gebrek aan empathie. Internetbankieren is opgedrongen, er is amper keuze deze niet te gebruiken.Tel daarbij simpele demografische gegevens op, zoals laaggeschoolden, ouderen, enz. en het is heel simpel vast te stellen dat een grote groep gebruikers er moeite mee heeft.

Stellen dat ze dan maar beter hun best moeten doen lost niets op. Sommigen kunnen het simpelweg niet, andere willen het niet. De uitkomst is hetzelfde ongeacht de reden.
De opmerking ging over Wachtwoord managers, niet internet bankieren. Er is niemand die je verplicht wachtwoord managers te gebruiken.
En niemand verplicht je windows te gebruiken. Of een browser. Maar stiekem allemaal wel, want dat is hoe de digitale maatschappij werkt.
Dat gezegd hebbende wordt er door de browsermakers voorgehouden dat dit veilig is. Dus moet de gemiddelde persoon technische kennis hebben om te bepalen hoe en waar die browsers de wachtwoorden opslaan en of dat veilig is. Als de gebruiker de browser dus niet kan vertrouwen, kunnen ze uberhaupt het internet niet gebruiken.
Ik snap wel dat ING in dit geval denkt dat voorkomen beter is dan genezen, zij mogen in 9 van de 10 gevallen de bedragen weer gaan vergoeden die zijn buitgemaakt..
Maar dat is een browser / gebruiker probleem. Niet dat van ING.
Als dit bij een handvol gebruikers gebeurt, dan is het hun eigen probleem.

Als het gaat om een miljoen onoplettende/uneducated gebruikers, dan is het toch wel het probleem van ING.
En dan vraag ik me af of er geen 2fa aanwezig is. Als je die wel hebt is je account nog altijd veilig. Mijn bank gaat nog verder, je ligt helemaal niet in met een wachtwoord maar ofwel met je kaartlezer of met een app op je telefoon. Beide afgeschermd met een pin.
Bij ING kan je inloggen met een gebruikersnaam / wachtwoord combinatie. Je kunt dan kijken naar de rekeninggegevens en de historie van iig meer dan een jaar.
Zodra je overboekingen wilt maken heb je een TAN-code of bevestiging via de mobiele app nodig dus op dat front ben je nog (redelijk) veilig.
Ik kan me echter bedenken dat het toegang hebben tot iemand zijn rekening gegevens niet wenselijk is en in sommige gevallen mogelijkheden geeft tot het plegen van fraude.
2FA om in te loggen is leuk, maar kost de gebruiker ook extra moeite. Transacties vereisen wel een 2FA. Dat lijkt me een keurige proportionele beveiliging.
dit lijkt mij uit den bozen om dat toe te laten.
wachtwoord managers moeten voor bepaald sites een pincode opvragen.
straks gaan mensen ing schuld geven omdat iemand met 1 muis klik op hun computer kon en geld stal..
Dit is de 'behulpzame' functionaliteit van alle moderne browsers hun ingebouwde password manager. Ze vereisen 0 setup omdat ze standaard aan staan - wat betekent dat al je wachtwoorden onbeveiligd opgeslagen worden;

https://security.stackexc...chrome-storing-a-password

Het is dus niet eens zo dat 1x je account kan misbruiken - ik kan je wachtwoorden allemaal opzoeken en je patronen achterhalen en vervolgens ontelbare schade aanrichten.
Dan moet je wel ingelogd zijn als die gebruiker. De wachtwoordmanager van Chrome vraagt sowieso om het Windows wachtwoord en de gegevens zijn optioneel ook nog versleuteld met een passphrase.
De wachtwoord manager van Chrome vraagt daar alleen om als je het wachtwoord wilt inzien.
Inloggen op een windows machine waartoe je fysieke toegang hebt is zeer eenvoudig. Je kan het windows wachtwoord aanpassen in wat jij wilt m.b.v. tools.
Ik zit niet bij ING maar ik mag toch hopen dat internetbankieren daar niet alleen uit een wachtwoord bestaat?
Gebruikers naam + wachtwoord geeft je toegang tot het rekening overzicht. Voor transacties heb je een TAN code of bevestiging via de mobiele app nodig.
En daarom wil je ook de optie voor 2FA bij inloggen, en niet alleen bij transacties hebben.
Goh, ik wist niet hackers regelmatig bij mensen thuis gaan inbreken om zo bij hun computer te komen zodat ze dan wachtwoorden kunnen stelen uit Chrome's password manager. Je zou bijna zeggen dat dit nogal omslachtig is.
Wat dacht je van op afstand overnemen. Ik kan dan een browser sessie starten waarbij Chrome netjes voor mij inlogt op de website van jouw bank.
Ik interesseer me niet in wat jouw wachtwoord is, zolang ik maar toegang krijg tot jouw rekening.
Gebeurt het dan regelmatig dat een hacker op afstand een PC overneemt om vervolgens de browser op te starten en dan te gaan internetbankieren?
Hallo, met Microsoft hier. Uw pc heeft een virus. Installeer aub Teamviewer en wij lossen het voor u op....

Had ze afgelopen week ook weer aan de telefoon.
Maar dan support je ook de browser password manager en die wilde ze juist uitschakelen. Waarom ze dat perse wilde geen idee.
Zoals ik het begrijp was het geen bewuste uitschakelpoging.
Dat is het zeker. Alle bekende browsers hebben, JUIST om dit soort gefaal te voorkomen, besloten om de autocomplete="off" optie te negeren voor password inputs.

ING heeft (alléén als je met chrome de pagina opent) besloten het veld daarom autocomplete="new-password" te geven. Een optie die specifiek bedoeld is voor formulieren om je wachtwoord te wijzigen (wat dit duidelijk NIET is). De enige reden dat ze deze rare constructie bedacht kunnen hebben is om moedwillig het gebruik van passwordmanagers tegen te gaan.

Wat ze in de tweets zeggen, dat ze het "niet bewust tegenwerken" is dus absolute bullshit.
Waarom maak je in gods naam een losse inlogpagina per browser. bouw gewoon netjes met web-standaarden.

Als je nou zou zeggen, we hebben een deel het verkeer al naar de nieuwe login gestuurd, en we doen die selectie op basis van browser, dan is het een ander verhaal, maar dan lijkt het me niet logisch om chrome als eerste te pakken gezien het nogal forse gebruikerspercentage daarvan.
Omdat Credential Management level 1[1] bijvoorbeeld alleen nog is geïmplementeerd in Chrome om juist dit makkelijker te maken, maar zit ook nog in de draft cq experimentele fase. Daarbij zijn er nog wel wat interessante manieren hoe password managers omgaan met webpagina's. De eerste stap is om van auto-fill en auto-login af te stappen gezien het misbruik daarvan. Password Managers zullen de komende tijd dus wel vaker omvallen.

Is het ideaal wat ze hebben gedaan? Misschien niet en ze zijn tegen bepaalde corner cases aangelopen, maar dan ook gaan ze binnenkort van de TAN-codes af. Zeker nu messages.android.com een leuke backdoor is geworden. Maar aan de andere kant, er worden bij dit soort bedrijf honderden testen tegelijk gedaan, omdat ze er achter kunnen komen wat wel en wat niet werkt.

[1] https://w3c.github.io/webappsec-credential-management/
Zoals die spec zelf al noemt, met de autofill spec kan je de browsers hints geven welk veld voor wat bedoeld is. De ING kan mogelijk met het toevoegen van `autocomplete="current-password"` al een heel eind komen als ze op een of andere manier de heuristiek (die tot op heden goed werkte) hebben gebroken.
Waarom maak je in gods naam een losse inlogpagina per browser. bouw gewoon netjes met web-standaarden.
Grappige is juist dát ze met een web standaard werken, maar deze standaard wordt niet nog goed gesupport in alle browsers. Goed dat ING daar toekomst in ziet, want dat zie ik zelf ook. Browser support moet alleen nog even bijtrekken.

https://developer.mozilla.org/en-US/docs/Web/Web_Components
https://www.polymer-project.org/

[Reactie gewijzigd door JorzoR op 9 juli 2018 12:08]

Zie andere comments, ze hebben een loginpagina in Lodash en Polymer gemaakt.

Het zal ongetwijfeld de doelstelling zijn om de andere browsers hier op termijn naar te redirecten, maar er zal daarnaast ongetwijfeld een (technische) reden zijn om dat nu nog niet te doen.
De nieuwe omgeving na inloggen is ook verre van optimaal. Zo uitgekleed en simplistisch dat t wel een android app lijkt. Om een rekeningoverzicht te downloaden of in betalingen te zoeken moet je nu veel verder doorklikken bijvoorbeeld
Niet veel anders bij andere banken, focus ligt veel meer op mobiel/tablet dan nog op 'alle info' PC weergave.
Klopt, en dat is erg jammer! Niet iedereen doet alles met zo'n mobieltje. Je krijgt met een mobiel ook een hele nadere blik op de wereld. Alsof je die wereld via een sleutelgat bekijkt. Minimale detail info in plaats van eerst een ruim overzicht (helikopterview).

Wat mij ook opvalt, is dat de nieuwe ING omgeving ongelofelijk traag is. Als ik in de nieuwe omgeving inlog, duurt het vaak een halve minuut voordat de eerste pagina met rekeninginfo opgebouwd is. Als ik de oude omgeving (die is er nog) gebruik, duurt het iets van 2 seconden. Beide met dezelfde browser (Firefox, laatste versie)
Tja, veel mensen doen nou eenmaal niks liever dan zoveel mogelijk binnen hun eigen wereldje blijven. Die filterbubbels vinden ze juist handig want: "Dan zie ik tenminste wat ik graag wil zien". Dat schept eerder afstand dan verbinding. Het nieuwe, persoonlijke internet, volgens wat google's AI (machine learning) denkt dat jij interessant vindt. De nieuwe manier om het gewone volk dom te houden? Klinkt misschien wat complotterig, maar het verleden heeft al zo vaak bewezen dat het dom/onwetend houden van grote delen van de bevolking de machthebbers helpt, dat het mij niet zou verbazen als dat weet kan (en dus gaat) gebeuren. Het liefst zo ondoorzichtig mogelijk, dus via bedrijven (niet de overheid), search bubbles en naar "gewenstheid" ranken van zoekresultaten tot uiteindelijk gewoon niet alles meer toegankelijk maken (en hoe moet je dat weten, er is zo gruwelijk veel data dat wij als burger daar nooit een compleet overzicht van kunnen hebben).
Ik zie het internet, als 22 jarige met bijna 15 jaar internetervaring, helaas met rasse schreden achteruit hollen. En zo lang iedereen de vendor lock-ins en dienstenmonopolies/app-ecosystemen in stand blijft houden gaat dat niet veranderen.
Helaas moet je gewoon concluderen dat Google nu al niet je beste vriend is, en in potentie zelfs de grootste bedreiging. Want vrije informatievoorziening is de basis voor élk systeem waar de burger de macht heeft/zou moeten hebben.

Tot zover mijn doemscenario.
Ik krijg niet de indruk dat Google in opdracht van regeringen werkt, het lijken eerder concurrenten van elkaar. Wat trouwens niet positiever is; Google is al heel lang niet je beste vriend meer.
Ik zeg juist niet dat het vanuit opdracht van de overheden gebeurt, dat is het hele gevaar. Onze eigen overheid hebben we nog invloed op, welke invloed kunnen we op google uitoefenen?
Je ziet het al gebeuren met belastingontduiking, uiteindelijk mogen de burgers alles ophoesten en voelen bedrijven er weinig voor om mee te betalen aan ons huishoudboekje (als land dus) terwijl ze rustig gebruik maken van alle infra hier.
De nieuwe omgeving lijkt alleen goed te werken in Chrome, of in op Chrome-gebaseerde browsers.

Bij de introductie was het haast onwerkbaar traag voor mijn ouders met Internet Explorer/Edge, terwijl ik zelf nergens last van had met Opera. (Behalve dan dat het nu inderdaad een mobiele website is, waar veel informatie haast verstopt lijkt te zijn).
Maar op mobiel/tablet vind ik het ook irritant dat je maar zo weinig informatie te zien krijgt terwijl mijn scherm toch groot genoeg is om veel meer informatie te tonen.. DAT vind ik dus een behoorlijke achteruitgang van veel mobile apps, je bent onnodig langer bezig met handelingen uitvoeren..
De nieuwe omgeving na inloggen is ook verre van optimaal. Zo uitgekleed en simplistisch dat t wel een android app lijkt.
Ik ben dus niet de enige die dat vind. Wat spartaans.! Meer klikken en ook nog eens trager.
Inloggen doe ik overigens handmatig en via sleur en pleur uit Keepass. Op een pc.

Als alles zo moeizaam en een voor een getest wordt, ben ik benieuwd wat me te wachten staat als de papieren TAN-codes stoppen.
Ik gebruik zelf Dashlane en was inderdaad al een beetje verward over waarom het niet meer werkte. Ik ben op zich wel blij hiermee aangezien je nu eerst de manager in moet duiken om het wachtwoord te kopiëren
Dit verhoogt wel weer de kans op phising. Omdat in Dashlane de URL van de ING inlogpagina staat wordt ook alleen daar het wachtwoord ingevuld. Nu je handmatig het wachtwoord moet opzoeken werkt dit idee minder goed.
Dat is zeker waar, daar had ik nog niet over nagedacht! Gelukkig check ik het meestal wel en typ ik ook zelf de URL in
Er wordt op basis van de site url waar je zit 'matches' getoond van je opgeslagen gegevens in LastPass. Als ik dus naar lng.nl ga, zie ik geen gematchte websites en ga ik wel HEEL zorgvuldig kijken of ik op de juiste plek ben. Ik kan nog wel door handmatig op ING te zoeken dan alsnog bij de gegevens komen, maar het komt niet standaard naar voren.

Ik weet niet of Dashlane iets soortgelijks in zijn GUI heeft zitten?
Over het algemeen wordt het zonder interactie laten invullen van velden door de browser of wachtwoordmanager afgeraden, omdat dit gevoelig is voor misbruik.
Dat is, zoals de link aangeeft, als de site third party scripts erop heeft staan. Via Javascript kan de derde partij het wachtwoord onderscheppen. Een grote maar is er dan ook: het maakt dan totaal geen drol uit of je wel of geen wachtwoordmanager gebruikt, want als je het handmatig invult kunnen ze het er ook uit uithalen.

Handmatig wachtwoorden invullen is simpelweg gevaarlijker omdat je dan geneigd bent om wachtwoorden te gebruiken die je makkelijk kan onthouden en wachtwoorden gaat hergebruiken.

Raar ook dat uitgerekend op Tweakers staat dat het automatisch invullen door een wachtwoordmanager wordt afgeraden 8)7
Lees de tekst nog eens. wachtwoordmanager is goed maar het automatisch in laten vullen van de inloggegevens niet gezien er valse invoervelden dan automatisch gevuld zouden worden. Een keertje klikken is daarom veiliger.
Je ziet het helaas meer en meer. De inlogknop wordt geblokkeerd omdat er geen invoer (toetsaanslag) gedetecteerd is door de webpagina. Dit komt omdat de inloggegevens erin geplakt worden. Ik moet dan eerst een letter intypen voordat ik kan inloggen. :|
Interessant... Bij mij werkte het juist sinds de nieuwe loginomgeving wel! De oude heb ik nooit fatsoenlijk aan de praat gekregen.

Ik weet verder niet of het nu ineens niet meer werkt, kan het nu helaas ook niet even snel testen.

Edit: Het werkt dus inderdaad niet meer, heel jammer

[Reactie gewijzigd door BobV op 9 juli 2018 18:23]

Nou als hij mijn wachtwoord niet meer wilt invullen automatisch ga ik van 20 random cijfers, letters etc van lastpass maar gewoon weer terug naar mijn 123geld wachtwoord....oh sorry 123geld!

[Reactie gewijzigd door ultimasnake op 9 juli 2018 11:58]

Ik snap de overweging van beide kanten. Zowel dat ING niet wil dat mensen hun wachtwoorden slecht laten opslaan door de browser, als dat mensen met een "echte" passwordmanager dat wel willen.

Voor een deel vind ik het eigenlijk de verantwoordelijkheid van de browser. Als je zo iets als een wachtwoordmanager ingebouwd hebt dan moet je maar zorgen dat het echt veilig is.

Eigenlijk zou je hier een een risico-analyse op los moeten laten (en ING heeft dat hopelijk ook gedaan) waarin je een afweging maakt tussen hoeveel mensen kwetsbaar worden doordat hun browser het wachtwoord opslaat, hoeveel mensen er extra beschermd worden door het gebruik van een goede passwordmanager, en hoevaak het mis gaat als mensen hun wachtwoorden niet meer eenvoudig kunnen opslaan.


Om te kunnen reageren moet je ingelogd zijn


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True