Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ING-klanten kunnen volgend jaar scanner krijgen als alternatief voor mobiele app

Klanten van de ING-bank kunnen vanaf het voorjaar van 2019 de ING Scanner aanvragen om betalingen in Mijn ING te bevestigen. Het aanbod is onderdeel van ING's streven om te stoppen met tancodes.

In eerste instantie kunnen ING-klanten die nog tancodes op papier ontvangen, de scanner aanvragen. Daarna geldt het aanbod ook voor klanten die de tancodes per sms ontvangen. De bank bericht klanten die in aanmerking komen, via de Mijn ING-omgeving.

De methode werkt door een kleurencode op Mijn ING te scannen en vervolgens de betaalopdracht te bevestigen met de cijfercode die door de scanner wordt gegenereerd. De scanner is bedoeld voor klanten die geen smartphone of tablet hebben. ING heeft van de Mobiel Bankieren-app de standaardmethode gemaakt om betaalopdrachten te bevestigen.

Het uiteindelijke doel is om de tancodes geheel uit te faseren. Dat moet in 2020 gebeurd zijn. De bank maakt inmiddels meer dan dertig jaar gebruik van tancodes om betaalopdrachten te bevestigen. Volgens ING gebruikt inmiddels 78 procent van zijn particuliere klanten de Mobiel Bankieren-app.

Door Olaf van Miltenburg

Nieuwscoördinator

06-11-2018 • 10:49

450 Linkedin Google+

Reacties (450)

-14500441+1205+228+30Ongemodereerd191
Wijzig sortering
Goed nieuws, want ik vind het maar niks om mijn telefoon te gebruiken voor betalingen.

Dat is het minst veilige apparaat dat ik heb, en ik loop er de hele dag mee rond. Als er een apparaat is dat ik kwijt raak of waarbij iemand over mijn schouder meekijkt om mijn wachtwoord te zien, dan is het wel mijn mobiele telefoon. Mijn telefoon gebruiken om betalingen te doen én de tweede-factor op diezelfde telefoon doen vind ik niet verstandig.
Je hebt opzich wel gelijk, maar wat maakt het uit?

Iemand moet dan je telefoon stelen, hem unlocken (met jouw vinger, Face ID of PIN pattern?), de ING app openen en dan met de afgekeken mobiele code een betaling doen voordat jij door hebt dat je telefoon gestolen is en je rekening geblokkeerd is. Lijkt me nogal een onwaarschijnlijke situatie.

De kans dat iemand dit met je pinpas doet is vele male groter. Iemand hoeft immers niet je telefoon te unlocken.

Daarnaast ligt het risisco bij de bank in het geval van fraude en wordt je schadeloos gesteld, tenzij je super nalatig bent geweest.
Iemand moet dan je telefoon stelen, hem unlocken (met jouw vinger, Face ID of PIN pattern?), de ING app openen en dan met de afgekeken mobiele code een betaling doen voordat jij door hebt dat je telefoon gestolen is en je rekening geblokkeerd is.
Dat je telefoon wordt gestolen is niet onrealistisch. Zakkenrollers zijn van alle tijden.
Dat iemand over mijn schouder meekijkt om m'n pincode af te kijken en vervolgens m'n telefoon jat lijkt mij geen onrealistisch situatie. Heel veel mensen halen hun telefoon iedere vijf minuten tevoorschijn. Je hebt dus zat kansen om te zien wat de code is en waar de telefoon wordt bewaard.

Het kopïeren van vingerafdrukken is niet iets wat de eerste de beste straatrover zal doen, maar bij een gerichte aanval is het heel haalbaar, met en beetje moeite en een paar euro aan materiaal kom je heel ver. Of je voert iemand dronken en dan is het ooik zo geregeld.
Dat is misschien een beetje paranoide, maar we hebben het hier wel over de belangrijkste accounts die je hebt in je leven, wat extra paranoia vind ik op z'n plaats.
De kans dat iemand dit met je pinpas doet is vele male groter. Iemand hoeft immers niet je telefoon te unlocken.
Mijn PIN-pas en PIN-code gebruik ik alleen als ik met geld bezig ben. Ik hoef die pinpas & code niet te gebruiken bij ieder berichtje dat ik op m'n telefoon ontvang.
Daarnaast ligt het risisco bij de bank in het geval van fraude en wordt je schadeloos gesteld, tenzij je super nalatig bent geweest.
Zo denk ik niet over mijn eigen veiligheid, om het maar niet te hebben over de ellende die je hebt als het zo ver moet komen.
Ik gebruik al tijden een bankieren app, en heb maar 1 keer een pin hoeven invoeren bij het instellen van de app. Daarna gaat inloggen en bevestigen van betalingen altijd via de vingerafdrukscanner. Hiermee valt het argument van de gevaren van het afkijken van een pincode weg, en het 'wat als' argument over het stelen van vingerafdrukken is gewoon nog niet bewezen. Dat het zo makkelijk is geloof ik wel als het grootschalig toegepast wordt, wat nu in ieder geval nog niet gebeurt.

Verder geldt het argument dat telefoons makkelijk te rollen zijn nog eens extra zwaar voor pinpassen, want een telefoon weegt tenminste nog wat en bovendien wordt die veel vaker tevoorschijn gehaald, zoals je zelf al aangaf, waardoor je dus veel sneller merkt dat ie weg is en daarop kunt acteren.
Vreemd bij een betaling via de app
Wordt mij eerst gevraagd om een vingerscan , en daarna als ik wil betalen moet ik alsnog de pincode invoeren
Dat je mobile word gestolen is inderdaad niet onrealistische, maar de combinatie die Thepiett voor schrijft is wel wat moeilijker dan je nu laat suggereren. Tevens is het raadzaam dat je zodra je betalingen doet via je telefoon dat je minstens een 6 cijferige code hebt en misschien wel beveiligd met een wachtwoord. Ook is her raadzaam om je ING code niet het zelfde is en doormiddel van faceID/Touch ID en mobile code beveiligd hebt bij betalingen.

Dat ING met een apart apparaatje komt is altijd goed voor die gene die niet wilt betalen via de telefoon + als je weet van jezelf dat je al te graag een simpele code of wachtwoord wilt omdat je het niet goed kan onthouden dan is het inderdaad raadzaam om het iets te beperken.

Het is en blijft altijd een afweging tussen veiligheid en gemak.
Met 1 vingerafdruk kan je een telefoon unlocken en een betaling uitvoeren, als het aan staat. Laat ik nu als ik naar mijn scherm kijk minstens 10 zichtbare vette vingerafdrukken zien die iemand zo over zou kunnen nemen.

Tuurlijk kan je je telefoon beveiligen met een wachtwoord en je ING app weer met een ander wachtwoord beveiligen, maar de andere kant van de medaille is dat ik mijn telefoon eigenlijk voor drie dringen gebruik:

* sms'en / mailen
* bellen
* koersen bekijken

en dat vaak op een dag doe (denk aan minstens 50 unlocks). Ik wil dan niet elke keer 10 seconden bezig moet zijn om mijn telefoon te ontgrendelen omdat er ----> EEN <--- app op staat wat ik niet op mijn telefoon hoef te hebben en ING nu door mijn strot probeert te douwen.

Besef je daarnaast dat als ik nu wil bankieren ik op elk willekeurig apparaat kan inloggen met een gebruikersnaam, wachtwoord en een secundair apparaat wat ik altijd bij mij heb (telefoon). Als mijn telefoon stuk gaat, hoef ik alleen de simkaart in een andere telefoon te douwen en kan ik mijn saldo zien/geld overmaken. Nu zou dat vervangen worden met een arbitrair apparaat wat ik niet altijd bij mij heb, waar ik waarschijnlijk ook weer een code of iets voor moet onthouden om ermee te kunnen inloggen.

Als ik de mobiele app heb, heb ik alleen een 6 cijferige pincode nodig (als je telefoon niet gelockt wordt/iemand je code weet) en kan ik alles doen wat ik wil. Je kan niet eens uitzetten dat er geld overgemaakt kan worden via de app (ten minste, het kan wel, maar dat kan letterlijk binnen 1 minuut worden uitgezet).

Oftewel,het beveiligingsniveau van beide middelen staat totaal niet in verhouding tot elkaar en wordt alleen maar schever op deze manier.

[Reactie gewijzigd door Chrotenise op 6 november 2018 17:55]

Het is niet erg slim om met alleen je vinger afdruk betalingen te kunnen verichten, ik raad je dat ten zeerste af.

Om geld over te maken heb je namelijk beide nodig, je vingerafdruk en een bevestigingscode. Deze veiligheid optie geven ze direct bij de eerste opstart aan, indien je hier niet voor gekozen heb raad ik je aan dit direct aan te passen in instellingen van de app.

Tevens gebruik ik nu FaceID, dus de vingerprint argument gaat niet op in mijn situatie.

Ik gebruik mijn mobile voornamelijk voor andere dingen en is Bellen/SMS’en meer een neven functie geworden.

Stel voor dat mijn telefoon word gestolen.. dan ben ik me daar best snel van bewust en kan ik mijn telefoon per direct via elke computer ontklaar maken vanaf afstand, tevens hebben ze niks aan alleen mijn sim kaartje want de combinatie simkaart en toestel staat beide geregistreerd bij ING.

Simkaart kan je ook via je telecom provider non actief zetten.
Je kunt sowieso niet ALLES met je vingerafdruk doen. Eenmalige of minder frequente betalingen moet je met je pincode bevestigen. Als je dan vaker aan die zelfde persoon/instelling betaald, kun je gebruik maken van je vingerafdruk.

En zoals @AngelusHD al zei: Je kunt het device verwijderen via de ING website.
1) Ik heb juist helemaal geen ING app op mijn telefoon. Ik gebruik alleen de website.

2) Je mist het punt: het is MOGELIJK om met alleen een vingerafdruk telefoons te ontgrendelen en betalen. Als ze zo'n achterlijke minimale beveiligingsniveau hebben op je mobiel, snap ik niet waarom ik ineens op de desktop een 'random reader' zou moeten meesjouwen, terwijl een SMS code een veel degelijkere oplossing is. Ik zie aan dat nieuwe systeem alleen maar nadelen, geen voordelen.

3) FaceID is nog minder veilig dan een vingerafdruk. Ik raad JOU ten zeerste aan om, als je je telefoon voor zoveel zaken gebruikt, tenminste een wachtwoord te gebruiken.

4) Ik wil niet ACTIEF actie moeten ondernemen op het moment dat het misgaat. Ik wil dat het VOORAF mogelijk is om te zorgen dat het niet mis kan gaan. De mogelijkheid om geld overmaken in de app permanent uit te zetten zou bijvoorbeeld al heel handig zijn. Dan zou ik de app kunnen gebruiken om mijn saldo te checken, wellicht een betaalverzoek te maken, maar kan niemand het voor de rest misbruiken.

[Reactie gewijzigd door Chrotenise op 7 november 2018 17:48]

1) Jouw persoonlijke keuze (prima)

2) SMS is het minst veilige wat je kan gebruiken.

nieuws: NIST acht sms ongeschikt voor tweetrapsauthenticatie

3) Hoe kom je erbij dat faceID minder veilig is dan TouchID? Graag bron vermelden.

4) Heb jij dan ook geen pinpas ter beschikking? Want als je dit kwijt raakt dan moet je namelijk “actief” deactiveren, iets waar je totaal niet achter staat.

Kortom, iedereen doet wat hij voorzichzelf het fijnste vind werken. Zoals ik al eerder aangaf gaat het altijd om een gepaste verhouding tussen veiligheid en gemak.

[Reactie gewijzigd door AngelusHD op 8 november 2018 21:02]

2) Doorgeklikt naar de bron. Er staat in https://pages.nist.gov/800-63-3/sp800-63b.html#out-of-band nergens dat SMS niet mag. Alleen SMS over VOIP mag niet. Sterker nog: in 5.1.3.1 Out-of-Band Authenticators wordt SMS direct benoemd als een out-of-band voorbeeld. SMS wordt verder nog breed gedragen door allerlei Enterprise bedrijven als 2FA. Denk bijv. alleen al aan DigiD.
3) Ik was in de war met gezichtsherkenning van Samsung die met een goede foto omzeild kon worden. Bij iPhones blijkt inderdaad FaceID beter dan TouchID.
4) Hoewel ik een pinpas heb, staat contactloos betalen uit en staat er een limiet op dat ik niet meer dan 100,- euro per dag kan pinnen. Als ik een aankoop doe, dan verhoog ik van te voren mijn limiet voor een dag. Daarnaast kan ik gerust een pinpas verliezen omdat die op zichzelf niet te misbruiken is (zonder pincode) en wordt bij het aanvragen van een nieuwe mijn oude gedeactiveerd - en werkt het binnen de net benoemde limieten. Iemand kan nogmaals op een telefoon met app zonder verdere 2FA - en dit is ook niet in te stellen.

[Reactie gewijzigd door Chrotenise op 9 november 2018 15:22]

1)Dat Digid nog steeds SMS hanteerd is mij een raadsel, er zijn genoeg andere betere oplossingen zoals OTP (one time password) als extra beveiliging.

4)Je gaat in iedergeval erg zorgvuldig om met je gegevens, daar kunnen veel mensen van leren.
1) Los van het punt dat er wellicht betere oplossingen zijn, zegt het mij genoeg dat onze overheid voor ALLE communicatie met haar burgers SMS authenticatie goed genoeg vindt. Er zijn v.z.i.w. ook geen aankondigingen om dit op korte termijn te veranderen/uit te breiden. Als er echt een serieus risico was in het gebruik van SMS zouden er op zijn minst publiekelijke upgrade plannen zijn.

Anyways, nogmaals de herhaling dat ik het nut niet zien van de vervanging van een gegenereerde code per SMS door een proprietary apparaat wat je normaal niet bij je zult hebben, die eenzelfde code uitspuugt - terwijl je op de telefoon letterlijk met een vingerafdruk alles kan doen.

[Reactie gewijzigd door Chrotenise op 10 november 2018 00:08]

naast dat je telefoon gejat moet worden en er een pincode / vinger afdruk ingevoerd moet worden is al een heel ding .
maar je kan ook de ing app zelf nog is voorzien van een aparte inlog code . als je elke 5 minuten je toestel gebruikt en er kan al iemand je unlock code zien is fijn maar ik neem aan dat je niet elke 5 minuten inlogt op je ing app.
dus die code weten ze niet en moeten ze dus echt gaan hacken om erin te komen , dus ja je kan je telefoon zo veilig maken als je wilt he . als je hem optimaal beveiligd kunnen kwaadwillende er uit eindelijk nog in . maar dan ben jij er al lang achter dat je toestel gejat is he .
Gelukkig geef je zelf al aan dat je paranoia level nogal bovengemiddeld ligt, laat ik het daar op houden ;)

Succes in een wereld waar je alleen maar afhankelijker zal worden van je "minst veilige apparaat", je telefoon.

Ik betaal ondertussen nog effe lekker een tikkie op een vol terras over 4G. Welkom in 2018!
Mijn vraag: is de app veiliger dan de TAN codes?
Er is voor allebei wat te zeggen, maar dankzij het gebruiksgemak van de app ten opzichte van de TAN lijst zou ik lekker voor de app gaan :)
Niet iedereen heeft zijn foon gelockt, als iemand 10 minuten toegang heeft en daarna de foon terug legt zijn er heel erg weinig aanwijzingen dat iemand anders een betaling heeft gedaan.
Niet iedereen heeft zijn foon gelockt
En niet iedereen heeft een IQ boven zijn/haar schoenmaat. Wat is je punt precies?
[...]
En niet iedereen heeft een IQ boven zijn/haar schoenmaat. Wat is je punt precies?
Eh pardon? Ik vind het bloedirritant om mijn telefoon elke keer te moeten ontgrendeld met de een of andere code of schermcombinatie. Ik heb 'm dus nooit vergrendeld.

Het lijkt mij dat er veel meer mensen zijn die dat niet willen. Ik heb dan ook geen app voor bankieren en sla dat soort wachtwoorden ook niet op, maar er zijn er vast genoeg die dat wél hebben.

Zijn punt is dus: het kan heel erg onveilig zijn omdat veel mensen hun telefoon standaard nooit vergrendelen.
Allereerst: regel een telefoon met vingerafdrukscanner.

Je 'telefoon' is inmiddels veel meer dan dat, eigenlijk ook je 'bankpas'.
Misschien vind het het ook vervelend dat je elke keer je pincode in moet voeren, maar dit is een noodzakelijke beveiligingsmaatregel.

Je staat dus voor de keuze: of je telefoon alleen voor bellen gebruiken, of beveiligen.
Een wachtwoord is toch veiliger dan een vingerafdruk die op elke vierkante cm van het apparaat waarop je hem nodig hebt al staat afgedrukt. En op 1000 andere plaatsen en je kan hem niet wijzigen 8)7 slechtste beveiliging ooit.
Een vingerafdruk is veiliger dan geen enkele beveiliging.
Of voor de keuze: geen zin in, ik blijf 'm gewoon gebruiken zoals ik nu doe.

Behalve Whatsapp en Deezer gebruik ik nagenoeg geen apps. Ja, mijn e-mail zit er op en contacten, that's it.
Ik vind het bloedirritant om mijn telefoon elke keer te moeten ontgrendeld met de een of andere code of schermcombinatie. Ik heb 'm dus nooit vergrendeld.
En je hebt er wel mail opstaan, een telefoonboek en er zit een simkaart in? TAN codes en andere 2FA codes ontvang je er misschien ook op? Als je er echt alleen mee belt, kan ik er heel misschien nog inkomen, zodra je er meer mee doet dan dat ( zoals mail bijvoorbeeld ) is het gewoon achterlijk om dat niet te beveiligen.
Het lijkt mij dat er veel meer mensen zijn die dat niet willen.
Ja, er zijn ook mensen die hun gordel niet om willen doen in de auto. Dat maakt het niet minder dom.
Zijn punt is dus: het kan heel erg onveilig zijn omdat veel mensen hun telefoon standaard nooit vergrendelen.
Ik ken ze niet. Tot aan mijn oma aan toe is de telefoon gewoon vergrendeld. En ja, dan moet je wel eens unlocken. En dat is vervelend, totdat iemand al je wachtwoorden veranderd omdat hij in je mail kan, dan is het ineens heel erg vervelend dat je geen code op je telefoon hebt.
Danku!

Ik zorg er gewoon voor dat mijn telefoon niet gejat wordt.

Het vergelijk met een gordel gaat natuurlijk niet op, dat is fysiek gevaarlijk, telefoon is alleen maar informatie.

En bij deze: ik ben iemand die zijn telefoon nooit met een code of vingerafdruk vergrendeld. Aangenaam.
Ik zorg er gewoon voor dat mijn telefoon niet gejat wordt.
Tuurlijk jongen!
Het vergelijk met een gordel gaat natuurlijk niet op, dat is fysiek gevaarlijk, telefoon is alleen maar informatie.
Het ging toch niet over gevaarlijk? Het ging over dom. En het is beide ontzettend dom, om verschillende redenen.
En bij deze: ik ben iemand die zijn telefoon nooit met een code of vingerafdruk vergrendeld. Aangenaam.
Mooi man! Heb jij een kleine of grote schoenmaat? :D
Het is niet dom, jij vindt het dom.

Dat mag, net zoals ik het te irritant vind om telkens mijn telefoon te moeten ontgrendelen en gebruiksgemak belangrijker vind dan veiligheid.

Schoenmaat gaat je niets aan, ik denk aan mijn privacy :+
Schoenmaat gaat je niets aan, ik denk aan mijn privacy :+
Hahaha, touché!
[...]


Hahaha, touché!
;)

Toch maar eens de vingerafdrukscanner ingesteld... Maar vind het nu al irritant. Paar dagen proberen dan maar...
Ben het met je eens verder hoor, maar eeh...

Hoe ga jij de bank bellen als je telefoon gejat is?
Want je bent de enige in wereld met een telefoon?
Banken zullen eerst de verantwoordelijkheid op jou afschuiven.
Jij hebt hier ervaring mee?
Algemeen bekend.
Staat ook in de voorwaarden. Lees maar na
Of: je smartphone infecteren met malware. Het probleem is dat al die beveiligingsmaatregelen op hetzelfde apparaat zitten. Als dat apparaat is geïnfecteerd, kun je in theorie alle beveiligingsmaatregelen aanvallen. Daarom is het altijd veiliger om een tweede factor te gebruiken die onafhankelijk is van het eerste apparaat, bijvoorbeeld een losse scanner.
Dat zou kunnen, maar dat is ook heel ver gezocht. Als er al een app in de App / Play Store terecht komt die een kwetsbaarheid in een OS / bank app misbruikt en je bent zo onoplettend om die te installeren, dan staat dit binnen no time in de media en verdwijnt de app uit de store.

Als je iemand zo gek krijgt om te sideloaden dan verdien je het ook dat je rekening geplundert wordt :P
Tegelijkertijd is het wel het apparaat waar jij als gebruiker ontzettend veel invloed hebt op de veiligheid. Dat het 't minst veilige is wat je hebt zegt meer over je voorkeuren dan de telefoon. Als je hem encrypt en met een vingerafdruk of cijfercode locked is hij echt wel veilig, zeker als je niet dezelfde gebruikt voor je bankier apps.

Ben het wel met je eens dat het op de mobiel geen 2FA is, er is immers geen 2e factor.
Tegelijkertijd is het wel het apparaat waar jij als gebruiker ontzettend veel invloed hebt yyop de veiligheid. Dat het 't minst veilige is wat je hebt zegt meer over je voorkeuren dan de telefoon.
Laten we het er op houden dat je me duidelijk niet kent.

Laat ik 1 puntje toelichten:
De belangrijkste vorm van beveiliging is het beperken van fysieke toegang. Mijn PC staat veilig thuis achter slot en grendel. De kans dat ik mijn PC ooit in de trein vergeet of dat m'n PC gerolt wordt is nihil. Mijn PC wordt alleen thuis gebruikt en is niet zichtbaar van buiten. De kans dat iemand meekijkt terwijl ik m'n telefoon ontgrendel en die vervolgens weet te jatten is een stuk groter dan dat er een inbreker wordt ingezet om een camera of keyboardsniffer te installeren op mijn PC.
Als je hem encrypt en met een vingerafdruk of cijfercode locked is hij echt wel veilig, zeker als je niet dezelfde gebruikt voor je bankier apps.
Het aantal codes en wachtwoorden dat ik van buiten ken is zeer beperkt, al is het maar omdat ze zo ontzettend lang zijn en vaak veranderen. Mijn codes en wachtwoorden staan dus in een password manager. Om dit te laten werken moet ik die password manager ook op m'n telefoon zetten.

Realistisch gezien maak ik me overigens niet zo'n zorgen over fysieke toegang tot m'n apparaten, ook al is de discussie vooral daar over gegaan. Mijn echte zorg is de software. Er zijn veel te veel gare en brakke apps. Ik maak me meer zorgen dat een malafide applicatie meekijkt en de communicatie met de bank onderschept. Dat is een stuk makkelijker als alle beveiliging via diezelfde telefoon loopt.
Ik kan een heel verhaal houden, maar kijk voor de gein eens naar Yubikey. Daarmee kun je zowel je PC als je mobiel met een tweede factor (de Yubikey) beveiligen. Ik heb er een voor de PC en dat werkt als een speer. Eerlijkheidhalve moet ik er wel bij zeggen dat het voor je mobiel best wel weer een ding om die Yubikey bij je te hebben. Ik heb doorgaans mijn sleutels niet in mijn zak zitten als ik thuis ben. Maar daar kun je wel iets op verzinnen denk ik. Wel erg veilig.
Ik heb een paar Yubikeys, er zijn nog al wat varianten, en ik gebruik ze ook voor sommige toepassingen. Bij dit soort hardware-oplossingen die je zelf verzorgt is het wel heel belangrijk om na te denken over recovery. Ik heb dus ook een reserve-yubikey voor als ik de eerste verlies of kapot maak.

[Reactie gewijzigd door CAPSLOCK2000 op 6 november 2018 16:32]

De belangrijkste vorm van beveiliging is het beperken van fysieke toegang. Mijn PC staat veilig thuis achter slot en grendel. De kans dat ik mijn PC ooit in de trein vergeet of dat m'n PC gerolt wordt is nihil. Mijn PC wordt alleen thuis gebruikt en is niet zichtbaar van buiten.
Klopt, maar als je kijkt hoeveel malware er un omloop is voor de PC en hoe makkelijk die binnenkomt door actief gebruik van zero-days (die criminelen niet melden bij de maker) en andere exploits, dan is het niet van de lucht. Gemiddeld duurt het 3 weken voordat malware gedetecteerd wordt. Dit maakt de PC, ondanks zijn fysieke lokatie achter slot en grendel met afstand het meest kwetsbare systeem.
De kans dat iemand meekijkt terwijl ik m'n telefoon ontgrendel en die vervolgens weet te jatten is een stuk groter dan dat er een inbreker wordt ingezet om een camera of keyboardsniffer te installeren op mijn PC.
Klopt, maar daarmee weet hij nog steeds niet de code van de app. Die kies je logischerwijze niet hetzelfde. En als je niet op het terras of elders onder de camera's je app gebruikt kan men die niet ook afkijken. Een vingerafdruk afkijken gaat ook wat moeilijker. Toch wordt die behandeld als zijnde minder veilig dan de pincode, patroonswipe of tikpatroon.
Het aantal codes en wachtwoorden dat ik van buiten ken is zeer beperkt, al is het maar omdat ze zo ontzettend lang zijn en vaak veranderen. Mijn codes en wachtwoorden staan dus in een password manager. Om dit te laten werken moet ik die password manager ook op m'n telefoon zetten.
Als jij altijd bankiert vanaf je PC hoeft dat niet. Dan mag die password manager of op je PC staan, of op je telefoon die je bij je hebt of daar hebt liggen. Met die telefoon moet je natuurlijk wel overtypen.

Het nadeel van die passwordmanager is dat die altijd maar op één machine staat. Die machine kan vastlopen of crashen, geïnfecteerd worden met ransomeware of een virus. Je zult dus regelmatig een backup moeten maken.

Wil je op meerdere apparaten kunnen inloggen, bv thuis en op het werk, dan moet je al op beide apparaten een manager neerzetten en dan moet je ze beide bijhouden. Dat betekent dat je bij een wijziging van een pasword op de ene machine die wijziging ook moet kunnen doorvoeren op de andere. Een alternatief is dat je een passwordstick meeneemt maar die kun je ook makkelijk kwijtraken, makkelijker ook dan een telefoon. Daarnaast kan ook die stick kapot gaan.

Alles bij elkaar denk ik dan dat je beter je wachtwoorden gewoon onthoud en jezelf daartoe te dwingen door wachtwoorden niet op te slaan en ze dusdanig vaak te gebruiken dat je ze vanzelf gaat onthouden.
Realistisch gezien maak ik me overigens niet zo'n zorgen over fysieke toegang tot m'n apparaten, ook al is de discussie vooral daar over gegaan. Mijn echte zorg is de software. Er zijn veel te veel gare en brakke apps. Ik maak me meer zorgen dat een malafide applicatie meekijkt en de communicatie met de bank onderschept. Dat is een stuk makkelijker als alle beveiliging via diezelfde telefoon loopt.
Klopt. Bij Android kan het beter maar zeker de Apple store is redelijk beveiligd. Voor beide is de kans dat er malafide software op het apparaat terecht komt een stuk kleiner als bij de PC.
Klopt, maar als je kijkt hoeveel malware er un omloop is voor de PC en hoe makkelijk die binnenkomt door actief gebruik van zero-days (die criminelen niet melden bij de maker) en andere exploits, dan is het niet van de lucht. Gemiddeld duurt het 3 weken voordat malware gedetecteerd wordt. Dit maakt de PC, ondanks zijn fysieke lokatie achter slot en grendel met afstand het meest kwetsbare systeem.
Daarom draai ik geen Windows. Ja, dat is te kort door de bocht maar ik wil hier niet ook nog een OS-discussie gaan voeren. Punt is dat ik veel meer controle over mijn PC heb dan over mijn telefoon.
Klopt, maar daarmee weet hij nog steeds niet de code van de app.
Tenzijn ik die app ook gebruik.
En als je niet op het terras of elders onder de camera's je app gebruikt kan men die niet ook afkijken. Een vingerafdruk afkijken gaat ook wat moeilijker. Toch wordt die behandeld als zijnde minder veilig dan de pincode, patroonswipe of tikpatroon.
Als ik goed naar de vingerafdrukscanner op mijn telefoon kijk dan zie ik een afdruk van mijn vinger. Makkelijk dupliceren is het niet, maar ik laat ze wel overal achter. Als iemand rustig de tijd neemt is het makkelijk om aan mijn vingerafdrukken te komen.
Als die app niet in de openbaaarheid mag gebruiken dan heb ik die software liever helemaal niet op mijn telefoon.
Als jij altijd bankiert vanaf je PC hoeft dat niet. Dan mag die password manager of op je PC staan, of op je telefoon die je bij je hebt of daar hebt liggen. Met die telefoon moet je natuurlijk wel overtypen.
Ik ben bang dat dit model niet lang meer houdbaar is. Betalen met je telefoon zit er van alle kanten aan te komen. Dat gaan we niet tegen houden. Ik richt me dus liever op hoe ik het veilig kan doen.
Het nadeel van die passwordmanager is dat die altijd maar op één machine staat. Die machine kan vastlopen of crashen, geïnfecteerd worden met ransomeware of een virus. Je zult dus regelmatig een backup moeten mak
en.
Wil je op meerdere apparaten kunnen inloggen, bv thuis en op het werk, dan moet je al op beide apparaten een manager neerzetten en dan moet je ze beide bijhouden. Dat betekent dat je bij een wijziging van een pasword op de ene machine die wijziging ook moet kunnen doorvoeren op de andere.
Nee hoor, ik heb op ieder apparaat dat ik heb een passwordmanager. Het synchroon houden van data in die passwordmanagers is inderdaad een uitdaging, maar niet zo heel anders als het synchroniseren van andere bestanden.
Het is ook niet nodig dat al mijn apparaten al mijn wachtwoorden hebben.
Alles bij elkaar denk ik dan dat je beter je wachtwoorden gewoon onthoud en jezelf daartoe te dwingen door wachtwoorden niet op te slaan en ze dusdanig vaak te gebruiken dat je ze vanzelf gaat onthouden.
Het menselijke geheugen is beperkt. Ik heb honderden wachtwoorden. Het is onmogelijk om die allemaal te onthouden. Sommige van die wachtwoorden hebben meer dan 50 tekens, andere wachtwoorden veranderen iedere zes maanden. Ik kan die echt niet onthouden zonder onveilige kunstjes.
Voor beide is de kans dat er malafide software op het apparaat terecht komt een stuk kleiner als bij de PC.
Niet op mijn PC, maar dat terzijde.

De kans is in ieder geval niet 0, dat is waar het om gaat.
Ik wil daarom niet dat alle veiligheidsmaatregelen op één device staan, of dat nu een telefoon of een PC is.
Daarom draai ik geen Windows. Ja, dat is te kort door de bocht maar ik wil hier niet ook nog een OS-discussie gaan voeren.
Da's een puntje ja, tenzij je dus OS-X gebruik want daar zitten ook al best veel gaten in, al is het niet zo erg als Windows. De meeste mensen kunnen of willen echter niet om Windows heen. Als die ipv hun Windows PC voortaan de telefoon-App gebruiken zijn ze echt wel veiliger.
Tenzijn ik die app ook gebruik.
Alleen als je die app ook gebruikt én dezelfde code gebruikt voor het unlocken van je telefoon en voor het inloggen/transactie bevestigen op de app. Gebruik je verschillende codes, dan is het alleen mogelijk als ze meekijken bij én het ontgrendelen van de telefoon én bij het openen van de app. Doe je dat laatste alleen thuis, dan is het probleem al weg. Daarbij gaat het hier om een code van 5 cijfers, dus veiliger als de pin-code (10.000 keer zoveel combinaties). Voor het ontgrendelen van je telefoon kun je zelfs 6 of meer cijfers gebruiken.
Als ik goed naar de vingerafdrukscanner op mijn telefoon kijk dan zie ik een afdruk van mijn vinger. Makkelijk dupliceren is het niet, maar ik laat ze wel overal achter. Als iemand rustig de tijd neemt is het makkelijk om aan mijn vingerafdrukken te komen.
Klopt. Dat moet dan wel iemand zijn die vertrouwd is met het verzamelen van vingerafdrukken (politie), enigszinds tech-savy is, of de moeite wilt doen om het zich aan te leren. Als er bij jou veel te halen is, bv omdat algemeen bekend is dat je veel geld hebt, dan zal er wel iemand zijn die deze moeite wilt doen. Bij de meeste mensen in hun omgeving is dat niet het geval. Dan betreft het echt een gelegenheidsdief, en terwijl die jou kan best observeren, evt met een verrekijker, is het verzamelen van vingerafdrukken toch al een ander verhaal. Weet die persoon toch jouw telefoon te ontfutselen en zonder je de code in ziend typen,via de vingerafdrukscanner je telefoon én je app te ontgrendelen, dan kan hij inderdaad een malafide overschrijving doen, maar dan is altijd te traceren naar welke rekening hij overmaakt. Dan moet hij dus ook al de beschikking hebben over een geldezel.
Als die app niet in de openbaaarheid mag gebruiken dan heb ik die software liever helemaal niet op mijn telefoon.
Dat is ook een optie, dan zet je die app alleen op een extra telefoon die je huis/kantoor niet uit komt. Dan scherm je dat probleem ook af. Ja die telefoon kan makkelijker door een inbreker meegenomen worden als een 9kg zware game-pc, maar dan moet hij dus ook weten dat daar die app op staat en die ook nog weten te vinden. Een 4" Wiko Sunny is daarbij met ¤44,31 ook nog eens fors goedkoper als welke tweedehands budget-pc dan ook.
Ik ben bang dat dit model niet lang meer houdbaar is. Betalen met je telefoon zit er van alle kanten aan te komen. Dat gaan we niet tegen houden. Ik richt me dus liever op hoe ik het veilig kan doen.
Bedoel je in de winkel, ipv pinnen. Ja daar zijn ze mee bezig. Vooralsnog moet je (na 6 maanden) per maand ¤0,50 extra betalen daarvoor. Dan haal ik mijn betaalpasje nog wel een keer tevoorschijn, waarvan niet de batterij leeg kan zijn.

Mocht het zo zijn dat ook overmaken via de browser verdwijnt, ja da's jammer. Het enige dat we daartegen kunnen doen is de browser zoveel mogelijk blijven gebruiken. Dan kun je inderdaad zo'n scanner gaan gebruiken of je overschrijvingen consequent in de browser invoeren en bevestigen via de telefoon. In jouw geval zou ik dus voor zo'n scanner kiezen. Gezien het registreren van een tablet of telefoon nu ook met een TAN via SMS gaat, wil ik ook wel eens weten wat daarvoor in de plaats komt. Als nu je telefoon ermee ophoudt, dan zet je de sim over en je krijgt de TAN-codes binnen op het nieuwe apparaat. Dat verdwijnt dus ook.

Het vervelende is dat browser-bankieren op een mobiel device dus ook niet meer gaat, althans bij ING. Je krijgt een bepaald scherm waar je niet uit kan.
Nee hoor, ik heb op ieder apparaat dat ik heb een passwordmanager. Het synchroon houden van data in die passwordmanagers is inderdaad een uitdaging, maar niet zo heel anders als het synchroniseren van andere bestanden.
Bij de passwordmanagers die ik gebruikt heb, was in ieder geval kopiëren niet genoeg.
Het is ook niet nodig dat al mijn apparaten al mijn wachtwoorden hebben.
Nee, maar toch minimaal 2 zou ik zeggen, een hoofdapparaat en een backup-apparaat. Daarnaast dus eventueel werk en thuis-apparaat (dan kom ik dus op 3 of 4) al zullen dat niet volledig dezelfde wachtwoorden zijn. Het is dat alle usb-sticks die ik persoonlijk gehad heb tot nu toe allemaal op een gegeven moment niets meer deden (op de laaste na) en ook wat betreft de smartphones, de exemplaren voor de laatste (< 1 mnd oud) hielden er plotseling mee op waarbij ik er één nog twee maal met verlies van alle gegevens, opnieuw heb kunnen resetten. Google wilde daarna wel een backup terugzetten, maar niet wat er op dat apparaat had gestaan, maar enkel dat wat er op de 8mb youtube-telefoon van m'n dochtertje staat, dus alleen 'my little pony' spelletjes en zo.
Het menselijke geheugen is beperkt. Ik heb honderden wachtwoorden. Het is onmogelijk om die allemaal te onthouden.
Dan moet je snijden. De meeste accounts zullen er zijn die je al maanden niet meer gebruikt hebt, waarschijnlijk al jaren niet. Waar je er niet omheen kunt, kun je passwords verzinnen die voor jou logisch zijn om te onthouden maar verder volkomen random lijken.
Sommige van die wachtwoorden hebben meer dan 50 tekens, andere wachtwoorden veranderen iedere zes maanden.
Die 50 tekens zijn random echt te lang om te onthouden. Je kent vast wel het correct battery horse staple voorbeeld hoe je lange wachtwoorden kunt maken die wel te onthouden zijn.
Ik kan die echt niet onthouden zonder onveilige kunstjes.
Die moet je ook niet gebruiken maar veilige kunstjes wel.
Ik wil daarom niet dat alle veiligheidsmaatregelen op één device staan, of dat nu een telefoon of een PC is.
Op zich een goed uitgangspunt. Zoals ik boven al schreef: " In jouw geval zou ik dus voor zo'n scanner kiezen."
Klopt. Dat moet dan wel iemand zijn die vertrouwd is met het verzamelen van vingerafdrukken (politie), enigszinds tech-savy is, of de moeite wilt doen om het zich aan te leren.
Het is verschrikkelijk eenvoudig, een paar minuten op internet is genoeg om het te leren.
Weet die persoon toch jouw telefoon te ontfutselen en zonder je de code in ziend typen,via de vingerafdrukscanner je telefoon én je app te ontgrendelen, dan kan hij inderdaad een malafide overschrijving doen, maar dan is altijd te traceren naar welke rekening hij overmaakt. Dan moet hij dus ook al de beschikking hebben over een geldezel.
Allemaal waar, het wordt zo redelijk bijzonder. Mijn voornaamste punt is dat ik niet alle beveiligingsmaatregelen op één apparaat wil. Of ik nu wil beveiligen tegen een fysieke aanvaller of een kwaadaardig virus, door het over meerdere apparaten te verdelen ben je veiliger.
Dat is ook een optie, dan zet je die app alleen op een extra telefoon die je huis/kantoor niet uit komt.
Ik heb een oude telefoon liggen die ik hiervoor overweeg te gebruiken. Voor ik dat doe wil ik echter alle antennes het dat ding slopen, zodat het een soort dom tablet wordt dat niks anders doet dan wachtwoorden beveiligen en tonen, al dan niet via QR codes zodat ik ze makkelijk kan overnemen.
Ja die telefoon kan makkelijker door een inbreker meegenomen worden als een 9kg zware game-pc, maar dan moet hij dus ook weten dat daar die app op staat en die ook nog weten te vinden.
Mijn plan is om de GPS te gebruiken om alarm te slaan of gewoon alles te wissen als de telefoon wordt weggenomen. Ik weet nog niet of ik de telefoon ga binden aan mijn huis, of aan m'n andere telefoon.
Bedoel je in de winkel, ipv pinnen.
Ja, het zal nog een tijdje duren, maar ik verwacht dat cash en bankpasjes in de toekomst verdwijnen en alles via onze telefoon gaat lopen.
Nee, maar toch minimaal 2 zou ik zeggen, een hoofdapparaat en een backup-apparaat.
Natuurlijk heb ik alle wachtwoorden (minstens) twee keer opgeslagen. Het punt was meer dat sommige apparaten maar een paar wachtwoorden nodig hebben, die krijgen dan precies wat nodig is en niet meer. Ik hoef niet de wachtwoorden voor iedere webshop waar ik ooit iets besteld heb 24/7 bij me te hebben.
Daarnaast dus eventueel werk en thuis-apparaat (dan kom ik dus op 3 of 4) al zullen dat niet volledig dezelfde wachtwoorden zijn.
Handmatig beheren is niet te doen, alleen software heeft de discipline om alles iedere keer weer synchroon te krijgen.
Dan moet je snijden. De meeste accounts zullen er zijn die je al maanden niet meer gebruikt hebt, waarschijnlijk al jaren niet.
Ik vind het eigenlijk niet zo'n best argument, het is de omgedraaide wereld. Voor mijn werk heb ik duizenden wachtwoorden nodig, dat op korte termijn veranderen is gewoon niet realistisch. Moet ik dan ook maar ander werk gaan zoeken?

Hoeveel wachtwoorden denk jij dat een normaal mens redelijkerwijs kan onthouden.
Waar je er niet omheen kunt, kun je passwords verzinnen die voor jou logisch zijn om te onthouden maar verder volkomen random lijken.
Dat is niet veilig en het werkt niet.
Die 50 tekens zijn random echt te lang om te onthouden. Je kent vast wel het correct battery horse staple voorbeeld hoe je lange wachtwoorden kunt maken die wel te onthouden zijn.
Dat zijn inderdaad CBHS-achtige wachtwoorden, maar ook daarvan heb ik er al zo veel dat ik ze echt niet meer allemaal uit elkaar kan houden.
Die moet je ook niet gebruiken maar veilige kunstjes wel.
Veilige kunstjes bestaan niet.
Ik heb geen vertrouwen in mijn eigen vermogen om iets unieks te bedenken. Mensen zijn ontzettend voorspelbare kuddedieren. Wie kiezen allemaal '7' als random getal onder de tien. Password crackers hebben al lang lijsten met dit soort handigheidjes.
Het is verschrikkelijk eenvoudig, een paar minuten op internet is genoeg om het te leren.
Toch doet vrijwel niemand het.
Mijn voornaamste punt is dat ik niet alle beveiligingsmaatregelen op één apparaat wil. Of ik nu wil beveiligen tegen een fysieke aanvaller of een kwaadaardig virus, door het over meerdere apparaten te verdelen ben je veiliger.
Eens. Voor thuisgebruik ook prima, onderweg (bv op vakantie) wat lastiger.
Ik heb een oude telefoon liggen die ik hiervoor overweeg te gebruiken. Voor ik dat doe wil ik echter alle antennes het dat ding slopen, zodat het een soort dom tablet wordt dat niks anders doet dan wachtwoorden beveiligen en tonen, al dan niet via QR codes zodat ik ze makkelijk kan overnemen.
Hij zal of SMS (TAN zolang het duurt) of Internet moeten kunnen ontvangen.
Mijn plan is om de GPS te gebruiken om alarm te slaan of gewoon alles te wissen als de telefoon wordt weggenomen.
GPS werkt ook via een antenne.
Ik weet nog niet of ik de telefoon ga binden aan mijn huis, of aan m'n andere telefoon.
Als je die telefoon altijd thuis laat en altijd bankiert via de vaste PC dan zou ik instellen dat hij aan je telefoon is gekoppeld, zodat hij niet werkt als je niet thuis bent. Het alles wissen kan dan natuurlijk niet. Gekoppeld aan je telefoon en met alles wissen, dan moet je het ding altijd meenemen, is ook niet handig. Dat wordt koppelen aan je huis dan.
Ja, het zal nog een tijdje duren, maar ik verwacht dat cash en bankpasjes in de toekomst verdwijnen en alles via onze telefoon gaat lopen.
Daar zal ik me tegen verzetten, Die telefoon is wel handig maar ook onbetrouwbaar.
Alternatief zoals een rf-id-chip onderhuids is al helemaal een no-go. Dat veroorzaakt het ontstaan van bindweefsel, op lange termijn een bron van kanker. Daarnaast kun je nog koppelen aan Openbaring 13 verzen 16-17 dat velen hiermee in vervulling zien komen. Die tendens is dus al langer bezig, het afschaffen van cash in Noorwegen is er al mee bezig en Zweden gaat vanzelf al en is in 2023 zover en ook Zuid-Korea en men wil het ook al in India

Ook interessant:https://www.visionair.nl/ideeen/contant-geld-als-misdaad/
Natuurlijk heb ik alle wachtwoorden (minstens) twee keer opgeslagen. Het punt was meer dat sommige apparaten maar een paar wachtwoorden nodig hebben, die krijgen dan precies wat nodig is en niet meer.
Prima, maar synchroniseren blijft een issue zodra je één wachtwoord op meerdere apparaten nodig hebt. En je moet backups hebben. Opschrijven?
Ik hoef niet de wachtwoorden voor iedere webshop waar ik ooit iets besteld heb 24/7 bij me te hebben.
Die kun je gewoon resetten iedere keer als je er in wilt.
Handmatig beheren is niet te doen, alleen software heeft de discipline om alles iedere keer weer synchroon te krijgen.
Voor mij werkte die software juist belemmerend. Heb je een pw nodig op een ander apparaat en kun je er weer niet bij.
Ik vind het eigenlijk niet zo'n best argument, het is de omgedraaide wereld. Voor mijn werk heb ik duizenden wachtwoorden nodig, dat op korte termijn veranderen is gewoon niet realistisch.
Dat is absurd.
Moet ik dan ook maar ander werk gaan zoeken?
Nee, het anders regelen. Ooit van Single-Sign-On gehoord?
Hoeveel wachtwoorden denk jij dat een normaal mens redelijkerwijs kan onthouden.
Minder als dat wat er nu door allerlei instanties en systemen gevraagd wordt, en daar gaat het fout. Misschien is het wachtwoord wel achterhaald zoals sommigen zeggen.
Dat is niet veilig en het werkt niet.
Uiteindelijk werkt er niets veilig: https://xkcd.com/538/
maar ook daarvan heb ik er al zo veel dat ik ze echt niet meer allemaal uit elkaar kan houden.
Dan heeft dat ook geen zin meer.
Ik heb geen vertrouwen in mijn eigen vermogen om iets unieks te bedenken. Mensen zijn ontzettend voorspelbare kuddedieren. Wie kiezen allemaal '7' als random getal onder de tien. Password crackers hebben al lang lijsten met dit soort handigheidjes.
Leuk, maar als iets niet bruikbaar is, gaan mensen het omzeilen en voegt het geen veiligheid meer toe. Wat is het nut als ik 7 minuten bezig ben met mijn fiets op slot zetten of van slot afhalen als de fietsendief het doet in 15 seconden.
Ik ken je inderdaad niet, maar je sluit met de kern van mijn bericht: "Mijn echte zorg is de software. Er zijn veel te veel gare en brakke apps. Ik maak me meer zorgen dat een malafide applicatie meekijkt en de communicatie met de bank onderschept. Dat is een stuk makkelijker als alle beveiliging via diezelfde telefoon loopt."

Net als: "Het aantal codes en wachtwoorden dat ik van buiten ken is zeer beperkt, al is het maar omdat ze zo ontzettend lang zijn en vaak veranderen. "

Dat zijn zaken die heb je toch echt zelf in de hand :) En je bank app is heus wel veilig - die zijn met (o.a.) PCI-DSS helemaal dood geaudit.
Feitelijk heb je GEEN invloed op de veiligheid.
Je moet blind afgaan op wat Apple/Google/Samsung/Huawei/etc. claimen dat de beveiliging op de telefoon werkt zoals die werkt, en dat er geen fouten inzitten.
Daarnaast kunnen telefoons geroot worden.... ==> de beveiliging van de hardware is gepasseerd. (dus blijkbaar zitten er nog steeds fouten in die beveiliging).

Jij als eindgebruiker mag alleen kiezen uit een sleuteltje met een rood, geel, blauw of groen etiket,
(Foto van gezicht, foto van vinger, pincode, gebaartje) als ontsluitingsmethode. (De onderliggende sleutel is overal hetzelfde, dat moet wel omdat anders de encryptie van de telefoon opnieuw moet worden gedaan bij verandering van toegangsmethode).
Overigens foto herkenning is ook te doen door telefoon eigenaar bewusteloos te slaan, of vast te zetten en dan het gezicht/vingerafdruk unlock te doen. Soms doen foto's wonderen. Pincodes en gebaartjes zijn ook anders te verzamelen.

Kortom CAPSLOCK2000 heeft m.i. gelijk in het wantrouwen van de portable betaal terminal.
Dit neigt naar alu-hoedje niveau. Natuurlijk heb je gelijk dat we geen/weinig inzicht hebben in een aantal zaken. Dat je een telefoon kan rooten staat los van het kunnen inbreken in een bankieren app en misbruik kan maken van de techniek, waar het hier om gaat.

Wat betreft de encryptie moet je je een beetje inlezen, want er zijn veel meer methoden dan degene die jij omschrijft.

En dan het absolute non-argument: "Overigens foto herkenning is ook te doen door telefoon eigenaar bewusteloos te slaan, of vast te zetten en dan het gezicht/vingerafdruk unlock te doen. Soms doen foto's wonderen. Pincodes en gebaartjes zijn ook anders te verzamelen."

Sorry, maar dan kunnen ze je ook dwingen je reader te gebruiken, of je gewoon via de ATM te beroven. Dit gaat de discussie volledig voorbij.

In het kort - is een bankieren app veilig te gebruiken? Ja, absoluut.
Wil je het niet, kun je het niet of vertrouw je het niet? Dan bestel je een reader.
[q]Wat betreft de encryptie moet je je een beetje inlezen, want er zijn veel meer methoden dan degene die jij omschrijft./q]
Hmm. of misschien niet. de unlock methode is onafhankelijk van de encryptie methode. Dat is het enige wat ik daar vertel. Er zijn dus niet zoveel smaken mbt. de beveiliging van de telefoon.
Sorry, maar dan kunnen ze je ook dwingen je reader te gebruiken, of je gewoon via de ATM te beroven. Dit gaat de discussie volledig voorbij.
Yep, maar die ga ik niet dagelijks met me mee sjouwen. Telefoon kwijt wordt ook steeds meer level kwijt. En de beveiliging is maar net zo sterk als de unlock methode.
Wil je het niet, kun je het niet of vertrouw je het niet? Dan bestel je een reader.
Precies, dat kan nu wel, maar is niet eerder geadverteerd door ING....

[Reactie gewijzigd door tweaknico op 6 november 2018 18:03]

Stel je bent aan het stappen en wordt overvallen. Usernaam en paswoord zal je moeten afgeven. Maar de TAN code kan niet. Want die is thuis. Een kluis met tijdslot is veiliger dan een kluis met sleutel. Voor kleine bedragen zie ik geen probleem. Maar voor de spaarrekening zou ik wel graag een serieuze beveiliging willen zien.
Ben het wel met je eens dat het op de mobiel geen 2FA is, er is immers geen 2e factor.
Het is wel 2FA want je moet iets hebben (telefoon) en weten (wachtwoord of code).
In het geval van de ING is het niet 2-factor. Je moet iets hebben dat enkel de gebruiker heeft en bij de ING is het mogelijk om de app op meerdere devices te plaatsen.
Ik ben het volledig met je eens. Omdat ING per se van die TAN codes af wil ben ik maar overgegaan, maar ik word erg blij van dit nieuws want ik merk bij mezelf (ben nu een maand over) dat ik nog steeds nerveus wordt elke keer dat ik er maar aan denk.

Mijn grote vrees ligt bij dat mijn iPad wordt gehackt. En dan kun je wel zeggen "uitkijken met apps", maar in mijn ogen kan zo'n hack gewoon plaatsvinden via een bezoek van een willekeurige site via Safari.

En op het moment dat je apparaat is overgenomen door malware hoeven ze maar 1 keer je 5 cijferige code mee te lezen (wat makkelijk is als je apparaat is overgenomen), en daarna kunnen ze alles met je rekening doen want er is gewoon geen enkele beveiliging naast die code.

Ik heb het idee dat ING ook gewoon gemak boven security stelt. Geen 2-factor authenticatie mogelijkheid, 5 cijfers ipv cijfer-letter wachtwoord van grote lengte, finger print als unlock aanbieden terwijl zowel iOS als Android dat voor belangrijke acties niet als authenticatie mogelijkheid bieden, ik ben geen security expert maar ik vind het vreemd dat mijn bankrekening toegang minder is beveiligd dan mijn epic game account....

Het is ook waardeloos in mijn ogen dat ze dan spreken over 'mobiel bevestigen', maar er is geen enkele mogelijkheid om mobiel bevestigen te activeren zonder dat dan alles meteen bruikbaar is via mobiel. En dan heb je ook nog eens dat je meerdere apparaten kunt autoriseren voor gebruik, en dat je op geen enkele manier een notificatie krijgt als er een extra apparaat wordt toegevoegd. Dus als het daar mis gaat krijg je er niks van te horen. Alles wijkt gewoon af (en is minder) van standaard security practices op het Internet.
Vrees dat je dan op je knieën kunt gaan smeken bij de ING, Want eenmaal over op de mobiel bankieren app mag en kan je bij mijn weten niet meer terug naar de tancodes.

De opzet van ING is dus gelukt, Door zolang mogelijk het alternatief stil te houden zijn mensen toch maar op de app over gegaan.
En daarmee heeft de ING bereikt wat ze wilden, Namelijk een aanzienlijke kostenbesparing waar de klant uiteraard niets van terugziet.

Zal vanzelf wel een melding krijgen wanneer ik dit apparaatje kan aanvragen, Tot die tijd blijf ik tancodes ontvangen op een oude smartphone zonder internetverbinding met daarin een oude prepaid simkaart.
Vrees dat je dan op je knieën kunt gaan smeken bij de ING, Want eenmaal over op de mobiel bankieren app mag en kan je bij mijn weten niet meer terug naar de tancodes.
Je kunt nu nog je mobiele apparaat verwijderen (via de browser, niet via de app en een apparaat deactiveren is niet voldoende) waarna je automatisch weer TAN-codes krijgt. Ook voor het activeren van een mobiel apparaat sturen ze o.a. een tancode. Die beide laatste dingen gaan niet blijven werken, dus in principe zal iedereen dan een scanner moeten krijgen, alleen dat realiseren ze zich bij ING nog niet.

Die oude smartphone is op zich geen slecht idee, maar die prepaid-kaart zal je moeten blijven opwaarderen en als je onderweg iets wilt kunnen doen is de app ook best handig. Helaas, beide gebruiken gaat niet meer.
Of ze halen de opties gewoon weg en verlagen het beveiligingsniveau. :+
ING heeft al diverse keren kritiek gekregen omdat het TAN-code systeem niet veilig zou zijn. Dat focuste zich vooral op de papieren TAN-code lijst maar dat lag toch vooral aan het feit dat mensen misleid werden om deze codes door te geven via andere sites, telefoon e.d. Social engineering blijkt ook elders steeds weer te werken omdat beveiligingssystemen steeds weer te ingewikkeld blijken voor een groep gebruikers waardoor of mensen misleid worden om ze te omzeilen, of mensen die er moeite mee hebben (niet begrijpen, codes niet kunnen onthouden) zich gedwongen voelen die systemen te omzeilen. Het bekendste voorbeeld is het steeds weer geforceerd wachtwoord moeten veranderen op sommige systemen waardoor mensen overgaan tot het gebruik van passwords als kiekeboe1, kiekeboe2, kiekeboe3 oid. Een ander voorbeeld is de duizenden passwords waar @CAPSLOCK2000 in één van zijn andere reacties over schrijft. Voor mij is het simpel, weet ik een wachtwoord voor een site niet meer, dan doe ik een password-reset en dat kan dus betekenen dat ik iedere keer als ik op die site wil inloggen het password moet resetten.

De enige keer dat ING echt de fout in ging in deze, is dat ze bij mensen die aangaven hun inlogcodes kwijt te zijn zowel de gebruikersnaam als het password door gingen sturen via sms.
Maar het vervangen van de TAN-code lijst met een random reader gaat niet helpen tegen social engineering. In beide gevallen wordt een code gegenereerd welke doorgegeven wordt. Het enige verschil is dat je bij een Reader de code waarschijnlijk binnen x tijd verloopt, maar dat was ook al het geval met TAN codes per SMS.
Maar het vervangen van de TAN-code lijst met een random reader gaat niet helpen tegen social engineering.
Dat bedoel ik. Oplichters zijn steeds weer inventief, en vooral overtuigend genoeg om mensen over te halen wachtwoorden, pin-codes, tan-codes en dergelijke af te geven, onbekende software te installeren ('hello i'm calling you from Microsoft regarding your computer') en dergelijke. Een systeem dat daartegen beschermt moet voor de gebruiker eenvoudig zijn. Die lijst TAN-codes is er straks niet meer om af te troggelen maar dan is er wel iets anders waarop ze mensen misleiden.

De reader van ABN is zelfs via usb aan de pc te hangen (zowel de e.dentifier als de e.dentifier2) en dus dan door malware uit te lezen. Het idee van 2FA is iets dat je weet en iets dat je hebt, maar bij dit soort apparaatjes moet je steeds én een reader én een pasje hebben, dus twee dingen en die eerste heb je alleen bij je als je gepland hebt om overschrijvingen te doen.

Dat is nu bij de komende ING-reader naar ik begrijp anders maar dan moet die toch gekoppeld zijn aan je pas (zoals nu ook al het geval bij zowel ing als abn) en een pincode hebben (dezelfde als je pas of dezelfde als bij mobiel bankieren of nog weer een andere) om te verifiëren. Dat betekent dat het dus niet gaat werken met een generieke scanner (zoals vroeger bij rabo zo was) en je dus niet die van een ander kunt gebruiken. Nee ik vind het geen verbetering ten opzichte van TAN.
Geen zorgen, op iOS kunnen andere apps niet zomaar aan gegevens van een andere app aangezien ze in een sandbox draaien. Er zijn geen apps die zomaar screenshots of video's kunnen maken, of een "touch overlay" maken om zo PIN-codes te ontfrutselen. Zoiets gaat écht niet snel voorkomen. Op iOS trek je enkel apps en updates binnen vanuit Apple, de controles zijn zo stevig dat de kans minimaal klein is.
Google maar eens op "JailbreakMe", of als je op links durft te klikken:
https://en.wikipedia.org/wiki/JailbreakMe

Het ging daar om een jail break voor iOS vanuit Safari. Nu was die exploit goedaardig (jailbreakte je apparaat), maar het laat in mijn ogen zien dat je gewoon een web pagina kan bezoeken en door security flaws in Safari en het onderliggend OS kan je hele apparaat volledig worden overgenomen. Ja, misschien niet de secure enclave, maar wel alles wat de ING app doet.
JailbreakMe is uit een andere tijd. Hoewel het aanvalspad wat je beschrijft zeker in theorie nog mogelijk is (zulke zaken blijven altijd in theorie mogelijk), is de securitysituatie op iOS heel anders. Ten eerste bevat iOS tal van aanvullende mitigaties - er is al jaren geen browser based exploit meer gebruikt in jailbreaks. Ten tweede als zulke exploits worden gebruikt, tellen kwade actoren enorm veel geld uit om zeer gericht doelen te targeten (exploits van deze klasse zijn meerdere miljoenen waard). Dit is niet meer een categorie exploits die zo maar even beschikbaar is voor de criminelen die mensen hun bankgeld willen ontfutselen.

Ik denk dat je de kans dat je persoonlijk getroffen gaat worden door een dergelijke exploit overschat. Daarnaast denk ik dat je de enorm moeilijke exploit chains die hier voor nodig zijn trivialiseert. Moderne iOS-apparaten zijn zo ongeveer de moeilijkst te hacken apparaten om te hacken op afstand, op de voet gevolgd door up-to-date ChromeOS en Android. Dat wil niet zeggen dat je niet gehackt kúnt worden, maar wel dat de kans nihil is dat je een willekeurig slachtoffer gaat zijn.
FBI eiste in een eerder onderzoek toegang tot een iPhone via Apple, uiteindelijk via een Rechter.
Die rechtzaak is geseponeert met als opgave: we hebben de data al op een andere manier.

Dus iOS is kraakbaar, het is een kwestie van tijd voordat iemand anders dat pad ook vindt.
ondanks alle mitigaties die er zijn.
En dan heb je ook nog eens dat je meerdere apparaten kunt autoriseren voor gebruik, en dat je op geen enkele manier een notificatie krijgt als er een extra apparaat wordt toegevoegd.
Zelf geprobeerd: zo gauw ik een tweede telefoon autoriseer, krijg ik op de eerste telefoon een melding.
Dan is de telefoon dus geen tweede-factor meer.
Dan is de telefoon dus geen tweede-factor meer.
Dat is het wel, je moet tenslotte iets hebben (telefoon) en weten (wachtwoord/code).
Mwah ik heb juist een schurfthekel aan die readertjes. Bloedirritant.

Om een betaling te initiëren op m’n telefoon moet je:
1) De telefoon kunnen unlocken
2) Biometrische verificatie voor de Bankieren-app om in te loggen op de app
3) Een aparte cijfercode ter bevestiging van de transactie
4) Indien een bepaald bedrag overschreden wordt (daglimiet) volgt een SMSje naar een ander nummer óf moet ik heel omslachtig via de website gaan waar een user/pass voor nodig is.

Zelfs met alleen een code per SMS ter bevestiging zou men stap 1 en 4 al moeten uitvoeren omdat de inhoud van smsjes niet getoond worden zonder het toestel te unlocken en om überhaupt een transactie te starten zijn user/pass van de bank benodigd...

Dat is wel een flinke “if” voordat het misbruikt kan worden. :P En het is gebruiksvriendelijk. Besides, het toestel is op afstand zo te blokkeren en te wissen - als ie online is. En je moet toch echt online komen om een betaling te maken. Dat en ik laat m’n telefoon niet slingeren, maar moet ik hem ergens ff neerleggen dan druk ik altijd een keycombo in die het toestel dieper blokkeert dan normale lock. (Oa biometrische verificatie schakelt dan direct uit, dus even je vinger op de scanner leggen/toestel voor je neus houden doet dan helemaal niets.)

Ik snap je zorgen ergens wel, maar het is toch zo’n kleine attack surface dat ik het niet zou willen inruilen voor zo’n ***-scannertje waar je niet zonder kan. Sterker nog: zijn die niet onveiliger? Als iemand je pincode weet en je pinpas jat en zelf zo’n scannertje heeft kan je bij Rabo en ABN volgens mij flikken wat je wil... Bij de ING heeft men dan nog wel je user/pass nodig voor een online betaling gestart kan worden.

[Reactie gewijzigd door WhatsappHack op 6 november 2018 17:21]

Beveiligingsexperts achten sms onveilig als tweede factor, omdat sms'jes heel makkelijk en op afstand te onderscheppen zijn.
Daarom is enkel afhankelijk zijn van smsjes ook niet zo handig :)
Overigens valt dat nog mee afhankelijk van de techniek, tenzij je de provider als adversary ziet. (En ja, in veel gevallen moet je dat ook als dusdanig beschouwen al vertrouw je je provider. Hoe gek dat ook klinkt.)
Het is het meest veilige wat ik heb.
Ik moet namelijk door 3 verschillende lagen om een betaling te kunnen doen.

1 - inloggen op je telefoon zelf (dmv code, vingerafdruk of selfie oid)
2 - om in de app te komen heb je een code of vingerafdruk nodig
3 - om een betaling te bevestigen heb je een code nodig

Als je dat ook nog eens achter een vpn doet snap ik de hysterie niet.
Voor mensen die het nog niet veilig genoeg vinden kun je daarnaast ook nog je telefoon encrypten.
Het is het meest veilige wat ik heb.
Ik moet namelijk door 3 verschillende lagen om een betaling te kunnen doen.

1 - inloggen op je telefoon zelf (dmv code, vingerafdruk of selfie oid)
2 - om in de app te komen heb je een code of vingerafdruk nodig
3 - om een betaling te bevestigen heb je een code nodig

Als je dat ook nog eens achter een vpn doet snap ik de hysterie niet.
Voor mensen die het nog niet veilig genoeg vinden kun je daarnaast ook nog je telefoon encrypten.
Voor de meeste mensen betekent dat in praktijk dat ze voor 1 en 2 hun vingerafdruk gebruiken, en 3 is voor iedereen zichtbaar die toch al toegang had tot de telefoon.
Prima, maar dat is dan de schuld van de gebruiker, niet de techniek.
De vraag is of de techniek minder goed is, dat geloof ik niet.
Jammer, was zeer tevreden met de TAN codes van ING op papier. Voor mij was het de belangrijkste reden om klant bij ING te blijven.

Een low tech 2FA systeem dat altijd werkt en mijn inziens veiliger is dan scanners of een mobiele app mits je de lijst met TAN codes niet rond laat slingeren.

[Reactie gewijzigd door (id)init op 6 november 2018 11:45]

Papieren TAN codes zijn niet PSD2 (van de Europese Commissie) of RTS (van de europese bank associatie) compliant, dus dat mag simpelweg niet meer.
EU heeft het gebruik van korte eenvoudig te onthouden banknummers al de nek omgedraaid en nu mijn favoriete manier van internet bankieren.
Sja, aangezien het met de loop van de tijd makkelijker wordt om op basis van oude ontwerpen fraude te plegen, roep ik het alleen maar toe dat er vanuit de regelgeving de minimum eisen omhoog gekrikt worden en oude ontwerpen gesunset worden.
Wat is er onveilig aan papieren tan codes ?
Ik zeg niet dat het onveilig is.
Het is niet dynamisch gelinked, een eigenschap waar steeds meer waarde aan wordt gehecht.
Papieren TAN codes zijn niet dynamisch; In de generatie van de papieren TAN codes is niet een doelrekening of een bedrag bekend.
Niet als kritiek op jou, maar als kritiek op deze in mijn ogen vage security gedachte:

De pin code waarmee ik nu de mobiele app unlock en transacties mee bevestig is ook iedere keer hetzelfde. Dus die code is ook totaal niet dynamisch. Ja, de papieren tan codes zijn niet het optimum van beveiliging, maar het is in ieder geval een extra factor (want ik heb ook al met mijn wachtwoord moeten inloggen voordat ik uberhaupt een TAN code kan gebruiken).
Je haalt wat dingen door elkaar, namelijk input en output van authenticatie.

In het geval van deze scanner (of mobiele app of pinpas in de winkel), zijn de PIN code, cryptografische sleutels en de eigenschappen van een transactie zijn allemaal inputs tot een berekening, waar een dynamische output uit komt rollen. Is er ook maar 1 van die 3 dingen iets anders, komt er een andere output.

In het geval van de papieren TAN lijst zijn maakt het geen reet uit welke eigenschappen de transactie heeft, de 'output' is de statische TAN code met volgnummer X.

[Reactie gewijzigd door AceAceAce op 6 november 2018 13:38]

Waarom zou een scanner minder veilig zijn dan een code op papier die iedereen in kan zien?
Omdat mensen hier 100% technisch denken en vaak geen oog hebben voor praktische veiligheid.

Ze lezen wel het vakblad dat een theoretische methode omschrijft om iemand zijn vingerafdruk van een glas te halen en na te maken om je telefoon te unlocken. Maar even 2 seconde nadenken over gelegenheidscriminaliteit bij het toevallig aflezen van een pincode op je scherm wordt vergeten.

Welke zou vaker voorkomen? Iemand die je pincode afleest of iemand die je vingerafdruk namaakt?

SMS wordt per direct afgedaan als onveilig. TAN codes via SMS zijn af te luisteren! Met een femtocell, en enkel bij één persoon die je dan direct moet kennen. Dan maar papier, zei de Tweaker. Over het feit dat ook die codes afgelezen, gestolen of gekopieerd kunnen worden hoor je niemand.

Welke zou vaker voorkomen? Je SMS wordt onderschept door een high-tech crimineel die het op jou gemunt heeft met een femtocell. Of een inbreker maakt gebruik van de gelegenheid en neemt je TAN lijsten mee samen met je laptop?

ING, echter, is een bedrijf en maakt een afweging over veiligheid in de praktijk. Het grappige is dat ze beide gelijk hebben. Theoretisch is een pincode veiliger dan je vingerafdruk. Maar in de praktijk is het andersom: risico vs. kans.

Hierboven noemt een Tweaker zijn telefoon: "Dat is het minst veilige apparaat dat ik heb,". Terwijl het juist velen malen veiliger is dan een computer, een papieren lijst of een scanner met pincode. En dat is nou juist het probleem: blind voor de praktische kant.
Ik ben het niet met je eens dat ik (en ik maak me er erge zorgen over) alleen maar theoretisch aan het neuzelen ben. ING zegt in mijn ogen zelf dat hun mobiele app niet deugt vanuit een security aspect.

Dit staat er op hun website (unsafe link alert :) ):
https://www.ing.nl/de-ing...k-is-jouw-wachtwoord.html
- Het wachtwoord bestaat uit cijfers, letters én leestekens. Nou dat kan niet, ik mag alleen cijfers gebruiken in het wachtwoord voor de mobiele app.
- Er wordt minimaal 1 hoofdletter, 1 kleine letter en 1 cijfer gebruikt. Hoofdletters en kleine letters? Ik mag niet eens letters gebruiken bij het wachtwoord van de mobiele app.
- Het wachtwoord is minimaal 8 en maximaal 20 karakters lang. Helaas, ik mag maar 5 cijfers opgeven als wachtwoord voor de mobiele app.
- Het wachtwoord is niet hetzelfde als jouw gebruikersnaam. Je gebruikt minder dan 3 maanden hetzelfde wachtwoord. Die twee eisen gaan lukken.

"ING, echter, is een bedrijf en maakt een afweging over veiligheid in de praktijk."

Volgens mij heb je hier gelijk, maar volgens mij wil ING maar precies 1 niveau van security ondersteunen, het absolute minimum. Want als ze extra mogelijkheden bieden zoals een extra 2-factor stap, dan moeten ze eigenlijk ook meteen zeggen dat iedereen dat moet gebruiken, als dat veiliger is. Dus mag niemand 2-factor. Maar ik ben enthausiast over de scanner, dan komt het in mijn ogen weer in de buurt van een veilig systeem, het is alleen jammer dat het nog meer dan half jaar gaat duren.
Ik vind dit een beetje een vreemde, domme opmerking. Je hebt een account en dat heeft een wachtwoord met cijfers en letters. De mobiele app heeft een PINCODE, geen WACHTWOORD.

Deze bestaat vanzelfsprekend alleen uit cijfers, net als je bankpas. Verder heeft de app de mogelijkheid tot FaceID & TouchID/Fingerprint waardoor je die cijfers niet hoeft in te vullen (en niemand ze dus af kan kijken).
Welkom op tweakers no scope.
"pincode" en "wachtwoorden" zijn in mijn ogen maar termen, de functie is van beiden is hier identiek, een bescherming laag van mijn bankrekening.

Ik zie de vergelijking als volgt:
  • Als iemand nu toegang krijgt tot mijn desktop PC en een illegale boeking wil doen met mijn rekening, moet zij a) mijn Windows wachtwoord weten, b) mijn ING wachtwoord met meer dan acht cijfers en letters en tekens kennen, en c) ook nog eens een TAN code invoeren bij de overboeking.
  • Als iemand nu toegang krijgt tot mijn iPad en een boeking wil doen met mijn rekening, moet zij a) mijn iPad unlock code kennen (ik gebruik fingerprint, maar dan kun je ook nog steeds een code invoeren), b) mijn ING app pincode van 5 cijfers kennen, en er is geen c), er is dan geen verdere blokkering voor toegang.
In feite is de rol van de pincode app groter dan die van het wachtwoord op de site voor wat betreft overboekingen, dus ik blijf het vreemd vinden dat je het niet beter kunt beschermen.
Voor het bankieren vanaf de computer hoeft de aanvaller geen toegang te hebben tot jouw pc noch je Windows-wachtwoord te weten. Hij/zij kan gewoon op z'n eigen pc naar de website van de bank gaan. Dat kan niet met de (op dat specifieke rekeningnummer geactiveerde) app, die moet je echt zelf hebben.
Een papieren lijst kan je zo veilig mogelijk maken als je zelf wilt, b.v. je eigen simpele codering bedenken (volgorde wisselen, optellen), opschrijven en origineel vernietigen.
En onderscheppen van post vind ik niet praktisch.

In praktijk is er een risico op malware, of beveiligingslek op mobiel waar je niks aan kan doen.
Als een fraudeur je pas + pincode (+mobiel) heeft, ben je volledige de controle over je bankrekening kwijt.

Als je TAN codes op papier gebruikt zijn die nodig als bevestiging voor betalingen en wijzigen die je via internet bankieren doet. Zonder TAN codes kan er geld worden opgenomen bij een geld automaat maar kunnen er geen handelingen via internet bankieren worden verricht.
Jammer, was zeer tevreden met de TAN codes van ING op papier. Voor mij was het de belangrijkste reden om klant bij ING te blijven.
Ze zijn inderdaad doeltreffend vanaf Girotel tot op heden. Men gaat mij nu een smartphoneloze oplossing bieden waarvan ik hoop dat ik die net zo eenvoudig en betrouwbaar vind.
Heb eens uitgezocht hoe je van papieren TAN codes over kon stappen op de app, maar dat was een portie omslachtig.

Moet je eerst TAN per SMS aanvragen omdat de bevestigings TAN van de app enkel per SMS gaat. En om van papier naar SMS te gaan moet je eerst langs een kantoor. Kan niet zeggen dat ING deze overstap hiermee nou echt makkelijk maakt terwijl ze het wel graag willen.
Waarschijnlijk omdat TAN via SMS ook de backupmethode is als de app niet werkt. Dus een werkende SMS-TAN is dan een vereiste.
Eenmalig langs een kantoor gaan, vind ik op zich niet raar (inderdaad, wel onhandig). Het is niet ongebruikelijk dat je je persoonlijk moet identificeren om een token voor tweefactorauthenticatie uitgereikt/geactiveerd te krijgen. Daarmee wordt immers heel goed vastgesteld dat de degene die toegang krijgt ook daadwerkelijk degene is die het moet zijn. Maar op zich zouden ze bij die controle ook meteen de app kunnen activeren.
Dit lijkt erg op de scanner van de Rabobank. Op zich prettig dat het vergelijkbaar is, wel verwonderlijk dat de ING kiest voor een manier die door velen wordt gezien als minder gebruiksvriendelijk.

Dit artikel zal daar vast mee te maken hebben: nieuws: 'Banktransacties verifiëren via sms is zeer onveilig' - update

[Reactie gewijzigd door Heineken op 6 november 2018 10:52]

^
Ik erger me altijd dood aan die mensen die geen 10tje kunnen overschrijven omdat ze weer eens hun reader zijn vergeten. :/ Gelukkig blijft er een veel gebruiksvriendelijker alternatief, en word je niet gedwongen een reader te gaan gebruiken.
Bij ideal is de QR-code voor de app geweldig, open app, voer app-code in, en scan QR + bevestigen.
Geen gedoe met inloggen, wachten op smsje en overtypen.
Gok dat deze oplossing voornamelijk is gericht op ouderen ;) De gemiddelde Tweaker zal weinig problemen hebben met de ING app (werkt geweldig mijn inziens) maar hoor veel ouderen die er totaal niet mee overweg kunnen.
Tenzij je een windows phone hebt, daar hebben ze weer eens geen app voor gemaakt. :(
Voor de Rabo heb je geen App nodig, de mobile site gedraagt zich als App, werk zelfs super met Edge op een W10 laptop, zal eens de link zoeken

Gevonden, vreemd dat ze het zelf niet goed vindbaar maken ?

link: https://mb.rabobank.nl/static/online/toestelregistreren.html

[Reactie gewijzigd door shiptronic op 6 november 2018 19:53]

Die app werkte perfect. Nu hebben ze zelfs de browser onmogelijk gemaakt op mijn Lumia 950.
Via een directe link werkt het via de browser wel redelijk bij mij:
https://mijn.ing.nl/particulier/betalen/index
He, dat is ben beter dan het en maand of 2 geleden was. Ik kreeg bijna niets met ik geld, moest extreem lang wachten en had geluk als ik mijn saldo kon zien. Dit lijkt goed bruikbaar te zijn!

Dank je! Ik had het al een tijdje niet meer geprobeerd.

[Reactie gewijzigd door Arokh op 7 november 2018 07:19]

Blackberry OS idem, dus ik moet ook aan het apparaatje...
Zelfs Microsoft maakt geen apps meer voor Windows Phone, niet echt verwonderlijk dan dat niemand anders de moeite doet. Windows Phone / Windows 10 Mobile is niet meer in development sinds eind 2017 (geen nieuwe features etc meer).

[Reactie gewijzigd door AmbroosV op 6 november 2018 11:50]

Nee, dat zeg je verkeerd.

Tenzij je een Nederlandse klant bent bij deze (van oorsprong) Nederlandse bank. 8)7 |:(

In Roemenië, Frankrijk en Hongarije heb je nog steeds een Windows Phone app en die app kan ook meer dan de Nederlandse Windows versie ooit kon. :(


reactie aangepast i.v.m. beoordeling:
2 x ongewenst?
Zijn dat directieleden van ING, die de kritiek niet leuk vinden? :o

[Reactie gewijzigd door Euronitwit op 6 november 2018 16:18]

Ik heb ook een Windows Phone en die werkt prima, ik hoef geen tientallen apps. Hij doet wat ik wil. Daarom vind ik het ook vervelend dat ik aan een apparaat moet om te gaan overschrijven.

In meer algemene zin vind ik het niet prettig dat ze van een generieke methode (zowel browser als telefoon) nu naar een betaalmethode gaan die niet generiek is (app voor twee systemen, Apple en Android). Ik vind dat een teruggang, online bankzaken worden nu meer afhankelijk van externe factoren/bedrijven.

Ik vind daarom dat het de verkeerde kant op gaat.
Ik wil niet betalen én bevestigen met hetzelfde apparaat (een smartphone). Zeker als ik al niet eens de absolute controle over dit apparaat heb en ik voor de veiligheid ervan afhankelijk ben van updates die soms laat of niet uitgebracht worden. (Gelukkig wordt rooten nu nog wel toegestaan door de ING!)

De scanner vind ik een beter alternatief. Dat is niet een kwestie van ergens "mee overweg kunnen", mijn veiligheidseisen liggen blijkbaar gewoon hoger?
Je moet alsnog een 5 cijferige pincode invoeren om te bevestigen, of een fingerprint. Volgens mij is de ING app ook extra beveiligd want je kunt bijvoorbeeld geen screenshots maken in de app. Ook zie je geen gegevens als je het tabblad met laatst gebruikte apps opent.
En dat is dus nog steeds betalen en bevestigen met hetzelfde apparaat, dat is mijn hele punt, dus ik snap jouw reactie niet?

(Overigens, het feit dat een app kan proberen te voorkomen dat er een screenshot wordt gemaakt, zou je juist kunnen aandragen als argument dat je geen absolute controle over het apparaat hebt en afhankelijk bent van de veiligheid en grillen van het onderliggende OS. Bovendien is dit een schijnbeveiliging, het wordt alleen jou moeilijker gemaakt een screenshot te maken, niet omstanders...?)
Ik doelde meer op de veiligheid van de app. Het is idd op 1 apparaat. Maar je moet alsnog een code invoeren voordat de transactie doorgaat. Deze kan uiteraard afgekeken worden. En met een aparte scanner is die kand zeer klein. Het gebruiksgemak gaat alleen omlaag daardoor. Veiligheid boven alles, maar ik hoor weinig problemen met de huidige manier met de ING app. Als je telefoon gestolen wordt, hebben ze en je schermvergrendeling en je pincode in de app nodig.
Waar staat dat dan over die ouderen?
Ik zie alleen maar een percentage staan die de app gebruikt.
Ik geloof er ook heeleeemaal niets van dat percentage.
Weer een paar parmantige managements-typjes bezig geweest met hoofd in wolkjes. Vriendin >40 kreeg de afgelopen week pas een brief met het ING-dictaat dat ze voor 1 december d'r betaalwijze op haar telefoon moet aanpassen. Daarna vervalt haar betaalpas. Gevraagd bij kassa's supermarkten en iedereen zit je glazig aan te staren. Huh...nog niks van gehoord. Raar, en al die oudjes dan?? Zeker een nep-brief geweest.
Gok dat deze oplossing voornamelijk is gericht op ouderen ;) De gemiddelde Tweaker zal weinig problemen hebben met de ING app (werkt geweldig mijn inziens) maar hoor veel ouderen die er totaal niet mee overweg kunnen.
Die eerste opmerking zal wel kloppen, maar ik denk eerder dat ze niet goed met de smartphone overweg kunnen, of omdat ze die gewoon niet hebben.

Waarmee ik natuurlijk niet wil zeggen dat "ouderen" in het algemeen geen smart phone hebben en kunnen gebruiken

Wat bedoel je eigenlijk met ouderen? :?

[Reactie gewijzigd door WimmieV op 6 november 2018 13:03]

Het is gewoon een uitbreiding van hun service, voor wie niet graag met de App werkt. Ouderen of niet, een goede stap van ING.

Maar zullen genoeg ouderen zijn die het niet willen of niet kunnen bijhouden. Het is goed dat ze aan deze doelgroepen denken.
Dat is het ook, maar eigenlijk een tussenstap.
Heel lang was onzeker hoe ze het probleem van niet de app gebruiken zitten oplossen.
De app gebruiken moet de 'normale' methode worden.
Jaa uiteindelijk is dat wel de oplossing. Zal denk nog wel even duren voor de mensen die dat makkelijk kunnen, onder de groep ouderen hoort:)
Misschien is er tegen die tijd wel weer wat nieuws.
Iets waar 'wij', de Tweakers van rond de 100 jaar, dan weer aan moeten wennen. }>
Bij veel ouderen is het ook vooral het niet willen gebruiken. Als ze echt moeten, dan lukt het ze heus wel, maar sommigen zijn digibeet omdat ze dat willen.
Bij veel ouderen is het ook vooral het niet willen gebruiken. Als ze echt moeten, dan lukt het ze heus wel, maar sommigen zijn digibeet omdat ze dat willen.
"

Wat ben jij voor rare vent ?
Schaam je eigen !

"Als ze echt moeten, dan lukt het ze heus wel,
Volgens mij moet jij eens gaan praten met wat ouderen die wel willen maar dat het niet lukt. Natuurlijk zijn er ouderen die er niks van willen. Maar wie bepaald dat ze moeten? Jij laat je toch ook niet vertellen dat je iets moet doen?

Toon een beetje begrip en inlevingsvermogen. Anders eindig je als slachtoffer van je eigen stelling.
Als tweaker komt het regelmatig voor de ik de applicatie opnieuw moet installeren. Om dat te doen heb ik een TAN code nodig. Iets met kippen en eieren.
Precies, ik hoor het zo nu en dan van ouderen. Zij vinden het lastig om met al die snelle ontwikkelingen mee te gaan, niet omdat ze het niet willen. Maar puur omdat ze het niet bijhouden, het lukt niet.

Erg goed dat ING aan deze doelgroep wil denken en alsnog zo'n reader op de markt brengt. Het zou immers niet fair en leuk zijn om ouderen buiten te sluiten, zouden wij ook niet willen als onze hersens trager worden :)
En ouderen hebben gemiddeld genomen vaker uberhaupt geen smartphone :9
Dit gaat dan ook om mensen zonder smartphone en dus geen 'apps'. Klanten met een smartphone kunnen al een hele tijd betalingen bevestigen met de app, zowel via een push melding als via een QR code.
Het werkte ook keurig op mijn smartphone maar helaas vindt ING mijn Lumia 950 opeens geen smartphone meer.
En terecht! De ondersteuning voor Windows 10 Mobile loopt nog tot uiterlijk juni 2019.
Terecht? Net zo terecht als mijn 5 jarige auto van ¤ 50.000,- er mee zou stoppen omdat de autoproducent vindt dat ik er nu lang genoeg mee gereden heb en maar eens een ander model moet kopen?
De consumenten hebben de macht in handen om die grote bedrijven tegen elkaar uit te spelen maar deze domme massa beseft blijkbaar nog steeds niet dat ze gebruikt worden als boksbal tussen grote ondernemingen.
Terecht? Onterecht zul je bedoelen! Dat ding werkt nog prima. Sowieso teleurstellend dat ze geen open source programma ter beschikking stellen dat geport kan worden naar andere platforms.
Ik weet het, heb er zelf ook één in de kast liggen. Maar je kunt van ING niet verwachten dat ze nog een platform ondersteunen dat binnen 12 maanden door de maker niet eens meer ondersteund wordt.

Of het terecht is dat MS die beslissing heeft genomen, kunnen we over twisten (en heb het idee dat we daar ook beide hetzelfde over denken). Heb nu een S8, maar mis m'n 950 XL best wel :( Zo was de Iris Scanner van de 950 superieur aan die van de S8. Ook vond ik het OS fijner werken dan Android. Maar ach, het mocht helaas niet zo zijn :(
In mijn tijdzone is het anders nog géén juni 2019 ....
In die van mij ook niet. Maar je kunt van een bedrijf (IMHO) niet verwachten dat ze een app ondersteunen op een OS dat over 7 maanden buiten de support van de maker is.
Nou, dat is nog ruim 7 maanden.
Wat zou het mooi zijn als alle banken ELKE Android telefoon zouden uitsluiten zodra ze niet meer van elke update van Google voorzien worden.

Dan is morgen 90% van alle Android gebruikers de lul.
ING vindt jouw Lumia onveilig.
Je mag wel een Android 4.4 gebruiken.

Het gaat niet om mensen zonder smartphone, maar mensen die niet voor een Android of iOS smartphone kiezen.

Edit: Dit vraagt om een toelichting:
Het officiële statement van ING was echt dat er geen support meer zou zijn voor Windows Phone. (Technisch gezien klopt dat, want inmiddels is (was) Windows Mobile de norm en moest iedereen van WP naar WM om ondersteund te blijven. Deze onduidelijkheid zal zeker niet aan de populariteit hebben bijgedragen.)

[Reactie gewijzigd door Davey400 op 7 november 2018 09:07]

Nee, heeft niets met veiligheid te maken maar met marktaandeel natuurlijk. Ik gok dat ook niet alle Android 4.4 telefoons nog steeds door alle fabrikanten van alle updates voorzien worden.
Precies! Triodos heeft dit ook.
Ok ok, via de app gaat het lekker snel, maar even serieus, de SMS-codes zijn echt geen "gedoe" meer, hoor. Inloggen gaat bij automatisch (Face ID), wachten op SMSje (oh jee 5 seconden wachten...), en overtypen hoeft al jaren niet bij Android en ook niet meer sinds iOS12 bij iPhones.
Weer iets waar bunq als eerste mee kwam en de andere banken (gelukkig) overnemen, zo kan het alleen maar gebruiksvriendelijker worden :)
Die QR code is wel fijn, maar ik zou het fijn vinden als die iets minder diep in een menu verborgen zit.
Ik ben blij dat je niet gedwongen wordt een telefoon te gebruiken.

Een tientje naar je overschrijven doe ik wel als ik thuis ben. Als je daar niet op vertrouwt, ben je duidelijk geen vriend van me en is er ook geen reden om geld aan je over te maken.
Ik ga echt niet internetbankieren in een kroeg ofzo...

[Reactie gewijzigd door cdwave op 6 november 2018 11:15]

Ik vind het betalen via scannen vooral handig bij tweedehandsaankopen en verkopen. Geen gerommel met wachten op een overschrijving en elkaar vertrouwen, en ook geen risico op vals geld, wat bij tweedehandsverkopen nog altijd een reëel risico is.
Nou is dit precies een scenario waarin helaas ook veel oplichters aktief zijn. Die laten je dan op hun telefoon zien dat de overschrijving is gedaan, maar of cancellen die, of het is gewoon een screenshot/valse app.

Check dus altijd je *eigen* telefoon, niet die van de betaler!

Nou is het zo dat betalingen tussen twee verschillende banken nog tot een dag kunnen duren qua verwerking, maar vanaf eind 2019 zijn overschrijvingen tussen NL banken in principe binnen 10 seconden uitgevoerd (dus geld op *jouw* rekening bij verkoop), net zoals nu overmaken tussen rekeningen bij dezelfde bank al praktisch real-time gebeurd. Een voorbeeld op dit moment is Bunq en ABN Amro, daar werkt dat al op die manier.

Tot die tijd is Tikkie de beste optie, het geld staat nog niet op je rekening, maar je hebt wel een betaalbevestiging.

Deze heeft wel een limiet van 2500 euro, dus voor verkoop van een auto bvb. (favoriet bij oplichters) nog steeds niet ideaal. Zorg dus dat je tot die tijd afspreekt welke bank (om precies te zijn *jouw bank*) er gebruikt wordt voor de betaling, of kies toch voor cash.

Zie ook: https://opgelicht.avrotros.nl/dossiers/item/10411/

[Reactie gewijzigd door Keypunchie op 6 november 2018 11:43]

Heb het ook wel eens gehad dat ik 6000 cash betaalde voor een auto, en die persoon dat bij zijn bank wilde doen, en hij stortte het direct met dus de bevestiging dat het niet vals was.
Er zit intussen ook een limiet op het bedrag wat je cash mag betalen, nog max 3000 euro.

https://www.vlaanderen.be...-een-factuur-cash-betalen


update: Blijkbaar is het in NL minder streng:
https://www.witloxvcs.nl/...lgie-en-in-nederland.html

In ieder geval weten Belgen dan waar naar toe met hun zwart geld ;-)

[Reactie gewijzigd door Transferno op 6 november 2018 12:43]

Er zit intussen ook een limiet op het bedrag wat je cash mag betalen, nog max 3000 euro.
Dat is een duidelijke limiet.

[
Die ¤15.000 en die ¤25.000 die hier genoemd worden hoor ik voor het eerst. In Nederland geld er echter wel een wet die in principe iedere transactie die buiten jouw gewone patroon valt verdacht kan maken. Als jij als boer iedere jaar ¤4000 kunstmest koopt (je hebt veel land, koopt vaker in die zaak dus ze kennen je) dan mag dat best een keer contant, maar als jij woonachtig op een appartementje voor ¤2500 kunstmest koopt, dan is het verdacht.

Daarbij komt er regelmatig voorbij dat de marechaussee op Schiphol, of de politie bij een controle-aktie mensen aanhouden die voor ¤5000 of ¤10.000 cash bij zich hebben, en dat is dus ook verdacht. Als jij op dat moment niet kunt aantonen waar dat geld vandaan komt, dan wordt het dus beschouwd als afkomstig van criminele activiteiten en in beslag genomen.

Ga ik dus met ¤5500 cash de grens over om voor 2999 een auto en voor 2500 een hifi-set te kopen, dan is dat voor België gewoon legaal en ben ik volgens Nederland een crimineel.
Nee hoor, met 9.999¤ cash op zak is er niets aan de hand. En ben je zeker nog geen crimineel.

Dat België zo streng is vind ik wel heel opvallend. Hoor koopt de standaard Belg een product van en particulier tweedehands van 3500¤?
Het bedrag van ¤3000 geld blijkbaar niet voor particulieren onderling. Lees één van de twee links nog maar van @Transferno

[Reactie gewijzigd door BeosBeing op 7 november 2018 11:08]

In België kunnen we daarvoor de Bancontact app gebruiken (of payconiq). Je krijgt als ontvanger van het geld een melding op je eigen telefoon dat het correct overgemaakt is. Dat kunnen ze niet faken, dus da's een stuk beter dan dat ze je iets laten zien op hun telefoon.
In Belgie is het alvast zo dat je met twee telefoons werkt, waarbij de verkoper een bedrag invult en dan een QR code laat scannen. Die ziet dan na het goedkeuren door de betaler dat de betaling weldegelijk gebeurd is op z'n eigen telefoon.

Ik zie niet in waarom je op een ander z'n telefoon zou gaan kijken voor de bevestiging.
Dat doet bijvoorbeeld Rabobank en SNS ook met hun betaalverzoeken, simpele ideal link (of QR) en je krijgt bevestiging zodra er betaald is (praktisch direct)
Nou wil het zo zijn dat mensen wie ik geld overmaak, of geld van krijg, inderdaad niet altijd goede vrienden zijn ;)
Als je daar niet op vertrouwt, ben je duidelijk geen vriend van me en is er ook geen reden om geld aan je over te maken.
Er is enkel geen reden om het terug te geven als je dat 10tje daarvoor ook niet gevraagd hebt natuurlijk.

Uiteraard staat het je vrij om die 10 euro niet te vragen als je niet aan de eisen wilt voldoen aan degene die jou op dat moment een gunst verleent :)

[Reactie gewijzigd door watercoolertje op 6 november 2018 11:28]

Toch vraag me ik altijd oprecht af in hoeverre een mobiele app waarbij alles op je telefoon draait dezelfde mate van veiligheid kan behalen als een systeem waarbij de combinatie bankpas+reader en het apparaat waarmee je inlogd/betaalt gescheiden is van elkaar.

Als zo'n losse reader niet ook maar enigzins veiliger zou zijn waren ze allang uitgefaseerd zou je verwachten. Zeker gezien er nog ruim een kwart van de mensen op een toch wel erg verouderd OS zitten vraag me ik af of alles via dat ene apparaat te laden lopen wel de meeste veilige optie is.

Uiteraard is gebruiksvriendelijkheid ook belangrijk maar bij geldzaken lijkt me veiligheid minstens net zo zwaar wegen

[Reactie gewijzigd door !mark op 6 november 2018 13:34]

"Alles op de telefoon" biedt inderdaad alleen maar heel beperkte authenticatie. Pincodes op het scherm intoetsen is pertinent onveilig, aan de vettige afdrukken op het scherm kun je sowieso zien welke cijfers er gebruikt worden. Een moderne telefoon is ook geen garantie voor een veilig systeem, en omdat je als gebruiker nergens bij kunt is het ook niet mogelijk om te controleren op backdoors.
Ik denk dat het risico van vettige vingers meer van toepassing is op die readers, die slechts voor één rekening worden gebruikt. Al weet je dan nog niet de volgorde.

Ik doe best veel op mijn telefoon. Dus mijn pincode afleiden van de vettige vingers op mijn scherm, gaat je echt niet lukken.
Bij 4 verschillende cijfers heb je in theorie maximaal 24 pogingen nodig om de correcte te gokken. Dus 50% kans dat je binnen 12x proberen de goede code hebt.

Vooral voor sleutelkastjes etc. waar soms geen 'na 3x op slot' beveiliging op zit onveilig.
Ik was iets onvolledig. Ik werkte bij een bedrijf waar en sleutelkastje hing met druktoetsen om binnen te komen. Je zag dat er 4 cijfers afgesleten waren, waardoor je de correcte cijfers al binnen hebt. Vervolgens hoef je alleen de volgorde nog maar te bepalen.
Deze reader zal niets doen met de bankpas, dat is bij ING nooit het geval.

Het gevaar van bijvoorbeeld de reader van de Rabobank is het feit dat je alleen de bankpas en pincode nodig hebt en je kan overal bij. Alle benodigde gegevens staan op de pas zelf gedrukt en die inlog/signeercode krijg je uit elke willekeurige Raboreader als je daar diezelfde pas insteekt en de pincode invoert. Die pas die je dagelijks gebruikt op straat en die picode die je gewoon in de supermarkt invoert.

Waarschijnlijk zijn die scanners van ING uniek, dat was vroeger ook al zo namelijk. Die kan je dus thuis opbergen en zal niemand zo snel van je kunnen pakken. Daarnaast is er ook nog steeds een gebruikersnaam en wachtwoord nodig, beide gegevens staan niet op een kaart gedrukt die je dagelijks gebruikt en voer je nooit in in het openbaar.
In de Rabobank app kun je instellen dat je zonder reader geld kunt overmaken. Tot een instelbaar bedrag. Maar een tientje over maken heb je geen reader voor nodig als je de app daarvoor instelt.
Ik denk dat ik ook redelijk 'biased' ben in dat opzicht omdat ik veel handel/koop via internet van particuliere kopers. Ik zou het vervelend vinden als dit afhankelijk zou worden van of ik mijn Reader mee heb. Erg persoonlijk natuurlijk. Dit zijn vaak wat 'grotere' bedragen.

[Reactie gewijzigd door WouterL op 6 november 2018 11:24]

Dat kun je zelf instellen. Ik zit bij de Rabobank en kan zonder reader grote bedragen overmaken naar bekende rekeningen, met een limiet van 2000 euro per dag. Zonder reader heeft het standaard een limiet van 100 naar onbekende rekeningen, maar dit kun je zelf verlagen of verhogen tot een limiet van 1000 per dag. Om dat limiet aan te passen heb je uiteraard wel eenmalig een reader/scanner nodig.

edit: verduidelijkt.

[Reactie gewijzigd door ThomasG op 6 november 2018 11:57]

“Naar bekende rekeningen”
Dat zou voor mij dus vervelend zijn.
Je kunt het zelf instellen, maar de standaard bedragen zijn laag. Veel lager dan bij de reader. Menigeen zal dan concluderen dat het veranderen van die standaard bedragen onverstandig is en met die reader blijven werken.
Ja, dat proberen ze.
Ons het contactloos betalen door de strot te duwen en cash geld uit te bannen.

Contactloos vind mijn dochter ook zo handig, totdat laatst op haar vakantiebestemming -waar contactloos nog nooit gewerkt heeft- de geldautomaten het opeens ook niet meer deden.
Toen was een beetje contant geld op zak toch wel heel erg handig.
die mensen kunnen je natuurlijk toch ook gewoon een "papieren" tientje geven, toch ???
Ik erger me altijd dood aan die mensen die geen 10tje kunnen overschrijven omdat ze weer eens hun telefoon zijn vergeten/gestolen/kwijt. Toch?
Zelf heb ik overigens 4 scanners: Werk, thuis, thuis-ouder, laptoptas

Daarnaast kun je nog eens een van iemand op het werk lenen of die van het huis waar je te gast bent.
Dat kan met een telefoon allemaal niet.

Maar op de telefoon is alles wel 100x makkelijker.
Even snel thuisbezorgd betalen op de mobiel: Klik, confirm, <scan vinger>, klaar.
Wat is het "gebruiksvriendelijker alternatief" waarover je schrijft?
Mobiel betalen via QR of App.
Daar willen ze nu juist naar toe, dat iedereen die app gebruikt !

Het alternatief is nu juist de scanner.
En ze moeten het ook per direct terug betalen, in de avond als ze weer thuis zijn is ook niet goed ?.
Je snapt mijn punt niet. Ik heb het over internet transacties die ik zelf uitvoer. Persoonlijk vind ik het onhandig om dan afhankelijk te zijn van een reader. Ik heb geen zin om dat apparaat elke keer mee te sleuren. Op internet moet je soms snel kunnen betalen om de deal te beklinken. Mijn gebruikte voorbeeld was misschien onhandig.

[Reactie gewijzigd door WouterL op 6 november 2018 13:38]

Dat 10-tje krijg je van mij in cash, ik erger me dood aan al die "EFT"'s. (Ik verwacht iets dergelijks ook in cash...).
Nog gebruikers vriendelijker... Werkt altijd, ook als er een grote stroomstoring, netwerkstoring etc. is.
Ik heb ooit een Kassa aflevering gezien waar een phisher gewoon vroeg om op een formulier meerdere tan codes in te vullen, en er zat een heel rijtje "slachtoffers" dus ja het is nodig om van die tan codes af te komen. En aangezien er altijd nog mensen zijn die geen smartphone kunnen of willen betalen, dan moet je als bank toch iets. Ik denk dat dit nog het meest gebruiksvriendelijke aanbod is voor deze doelgroep.
Papieren tan codes misschien. Maar via SMS is een heel gebruiksvriendelijke oplossing en ook behoorlijk veilig.
SMS is niet bepaald veilig. Het is gewoon platte text die door een ieder uitgelezen kan worden. }>
gebruiksvriendelijk is het wel.
Want een random crimineel gaat mijn SMSjes kunnen aftappen, als die uberhaupt mijn nummer al weet en zich dan ook nog eens binnen bereik van dezelfde telefonie mast bevindt. Buiten dat hij dan ook op mijn PC mijn sessie moet zien te jatten of mij moet te zien man-in-the-middlen.

Security is een kwestie van afwegingen, als ik rijk zou zijn of 1 of ander high profile target, dan zou ik SMS ook niet vertrouwen, voor een random burger zoals ik is het 'onveilige' SMS veilig genoeg. Want zo onveilig is het niet, want de veiligheid is niet alleen afhankelijk van de code in het SMSje en is onderdeel van een keten.
Nogmaals, crimineel moet dan
1) mijn telefoon/IMEI nummer hebben, en daar loop ik niet zo mee te koop.
2) binnen bereik van dezelfde mast zijn om dat SMSje op te vangen, dus weten waar ik woon, wat maar weinig mensen weten.
3) mijn PC/thuis netwerk hacken.

Dat SMSje alleen hebben ze niets aan. Het is onderdeel van een keten. En voor de meeste criminelen gewoon veel te veel moeite.

Vandaar dat ik er pas rekening mee zou houden als ik een belangrijk/rijk persoon zou zijn waar veel te halen valt, die getarget kan worden. Als random burger is het niet iets om bang voor te wezen, deze vorm van criminaliteit vind niet massaal plaats. Anders was ING er al veel eerder mee opgehouden.
Internet bankieren hoeft niet direct van jouw huis uit... maar ok, ook daar is op het netwerk te komen.
Het enige issue is de SMS code en ww. in het geval van PC.

Dus een (paar?) spearphishing mails/berichten/... verder is je browser/PC gehackt. en wordt je ww. uit je PC gelepeld.
Dan is in de nabijheid van de mast waarmee jouw telefoon babbelt (of evt in de buurt van je telefoon) voldoende om ook de SMS langs te zien komen.. Ja jij krijgt ook de SMS te zien die op een transactie die NIET op jouw PC gestart is verstuurd wordt. Zodra die transactie wordt afgemaakt is je geld onderweg.
Wat is daar zo verschikkelijk ingewikkeld aan? Inderdaad je weet dat er iets op je rekening gedaan is..., nu de bank overtuigen dat jij het niet was...?

Maar ik ben het in zoverre met je eens dat een aanval met Ransomware eenvoudiger is.
Voordat een crimineel dat gaat uithalen, ben je een doelwit, een high profile target. Er valt bij mij net als de meeste mensen niet genoeg te halen om hier zo veel moeite in te steken.

Het risico is veel te hoog voor de mogelijke opbrengsten. Natuurlijk is het mogelijk, maar dit is niet iets waar de gemiddelde burger zich -vooralsnog- zorgen over hoeft te maken.
De eerste criminele hackpoging waarin iemand de zendmast onderschept om de specifieke tijdsgebonden transactie van iemand te onderscheppen moet ik nog meemaken. Er zijn duizend en 1 andere phishing of social engineering opties die vele malen efficiënter zijn.
Het gaat niet enkel over het onderscheppen van zendmasten. Volgend artikeltje benoemd enkele kwetsbaarheden:

https://authy.com/blog/se...fa-what-are-your-options/
Zo moeilijk is het niet, veel makkelijker om gewoon iemand een malafide app te laten downloaded, zat mensen die gewoon Candy crush toestemming geven om SMS te lezen.
Dat is een reëlere dreiging, maar vraag me af of het enkel stoppen van SMS-dienst voor TAN-codes dit dan tegengaat. Denk dat deze doelgroep dan ook vatbaar blijft voor nep-betaalverzoeken, nep-betaalapps bij langskomen van de oplichter. Voor ING is dat een probleem ge-elimineerd, maar voor de klant is het enkel verschoven.
Precies. Betaalprobleem afwentelen op je klant.
Door iedereen? Welke iedereen dan? Want die moet eerst in je telefoon zien te komen en tegelijkertijd ook kunnen inloggen op jouw internetbankieren (wat een sterk wachtwoord kan hebben in tegenstelling tot een cijfercode/vingerafdruk in de app).
SMS is niet bepaald veilig. Het is gewoon platte text die door een ieder uitgelezen kan worden. }>
En wat heb je als crimineel aan die onderschepte SMS tancode?
An sich kan je er nog steeds helemaal niets mee.
Je moet nog behoorlijk wat stappen zetten om er iets mee te kunnen.
Er zijn al verschillende Android apps geweest die toegang hadden/hebben tot sms. Hoezo veilig?
Daar heeft mijn classic Nokia geen probleem mee aangezien daar geen apps op draaien. Dus echt veilig.
Dan moet je dus een app op iemands telefoon hebben en zijn/haar PC infecteren tegelijkertijd.

Zo lang je geen gekke apps op je telefoon zet is SMS gewoon veilig.
Waarom PC?, je kan betaling ook gewoon vanuit de bank-app direct regelen...
In zo'n geval is een telefoon geen 2FA.
Maar dan is de ing app dus ook niet veilig. Het ging hier juist om de situatie als je niet d app gebruikt
Hoe kun je de APP niet gebruiken als je een bank autorisatie via de APP moet doen....
waarom dan de PC niet bij het "recycle afval" zetten en de hele betaling vanuit de app regelen....?
Volgens mij snap je niet helemaal wat je zegt. Het is hier een discussie of internetbankieren op de PC en bevestigen via SMS veilig is.
Goed, als je de APP op je telefoon zet heb je de hele PC niet meer nodig, je kan dan uitstekend overschrijvingen doen ZONDER PC....
ING Biedt nu een ING Bankieren APP aan als vervanging voor TAN (hetzij op papier, of via SMS).
Als je die APP gebruikt dan is de PC niet meer nodig.

In het kader van veiligheid "zou je 2FA moeten gebruiken"... Maar je kan uitstekend 1FA boekingen doen via de ING-Bankieren APP op de telefoon.
Dat iemand de PC wil gebruiken wil nog steeds niet voorkomen dat je uitstekend een overboeking op de Telefoon kan doen zonder verdere tussen komst..... (dus iemand die te telefoon even van je leent zou er met je geld vandoor kunnen gaan).
Ik ken een aantal mensen met Windowsphone toestellen, die het nog prima doen. Ik vind het niet meer dan logisch dat die geen nieuwe telefoon kopen omdat ING zonodig het systeem wil veranderen.

Twee daarvan hadden al aangegeven dat als een Android of Apple telefoon verplicht werd over te stappen naar een bank met een reader.

Ik denk dat we ons hier op Tweakers wat beter moeten beseffen dat een groot van de bevolking geen nieuwe telefoon gaat kopen om van een specifieke dienst gebruik te maken als ze vrijwel gratis van dienst kunnen wisselen. Telefoons en andere electronica heeft voor deze groep gewoon geen enkele prioriteit.
Zo is dat. Zo ken ik ook 3 tevreden Windowsphone gebruikers die er niet over piekeren om voorlopig een ander toestel te kopen maar eerder overstappen naar een andere bank. Want dat is zo gebeurt en gratis....;
Ach dat soort woorden blijven vaak ook niks meer dan woorden en geen daden. En als dat wel gebeurd dan is dat zo en ligt daar ook niemand wakker van...

De kosten zijn ook niet te drempel om over te stappen, dat is de tijd en energie die je er in moet steken.

[Reactie gewijzigd door watercoolertje op 6 november 2018 11:32]

Beide personen hebben al een betaalrekening bij een ander bank omdat ze die moesten nemen bij een spaarrekening. Overstappen is een kwestie van het bulk van het geld overmaken naar de andere bank.

Ik ben zelf vanwege gebrek aan vertrouwen een aantal jaar geleden bij de ING weggegaan, het is meer angst, dan dat het werkelijk tijd kost en problemen geeft.

Ze liggen er misschien niet wakker van, maar ze hebben in de maanden daarna verschillende keren gebeld wat ze konden doen om mij als klant terug te krijgen. Dus helemaal koud laat het ze ook niet!
[
En aangezien er altijd nog mensen zijn die geen smartphone kunnen of willen betalen, dan moet je als bank toch iets.
Het is vaak een kwestie van niet durven, omdat men de technologie niet kent. En we weten alllemaal over welke doelgroep dit gaat.
Een reader als dit gaat dan ook niet werken, want lezen wat er staat is ook ontzettend moeilijk.
Ik verwacht dat het exact dezelfde scanner zal zijn (met kleine modificaties zodat het ING-branded is en alleen met ING passen werkt). Als je keek naar de oude e-dentifier van ABN en de oude Random Reader van de Rabobank, bevatten deze ook dezelfde hardware.
Maar volgens het filmpje maak je geen gebruik van een ING-pas, dus zul je per rekening een andere scanner moeten hebben en kun je ze dus niet uitwisselen.
Misschien, misschien ook niet. De kleurencode kan ook account data bevatten, tevens kan je pincode een onderdeel wezen van het hash-process, en dus klopt de terug geleverde code als het overeenkomt met de pin-code van het ingelogde account.
Dat lijkt mij zeer onlogisch, je zult dan een pincode moeten instellen (of toegewezen krijgen van ING) welke dan naar alle scanners gepusht (of eerder geflasht) moet worden om die daar te kunnen gebruiken. Als de pincode van de ING komt en door haar is gegenereerd heeft deze ook geen waarde in multi-factor-authentication.
Volgens mij kun je de pincode gebruiken zonder pas en zonder dat deze ergens vast op het kastje staat.

De QR code geeft een bepaalde code weer.

- Jij ondertekent die met o.a. je pincode
- ING ondertekent die ook met de pincode aan zijn kant

Matcht het, dan ben je ingelogd.

Vergelijkbaar met de TOTP Google Authenticator, je hebt beide een bekende code (bij TOTP wordt het lokaal opgeslagen, met een pincode voer je hem telkens zelf in), en die code gebruik je beide voor het controleren.
Ah scherp, dan wordt de kleurcode (QR) dus ondertekent met de pincode waarvan ING weet dat die klopt omdat jij die ingesteld hebt bij ING. Dit controleert de scanner weer als jij die daar ook invoert en vergelijkt dat.

Dan zou dit dus betekenen dat de scanner uitwisselbaar is dit zou naar mijn mening de enige flaw er uithalen (voor zover het bij je moeten hebben van de scanner sowieso al een flaw is ;)).
Wat is dan het nutvan de scanner?
Dan zou je net zo goed het hele QRcode gedeelte kunnen overslaan en de pincode direct op de ING site kunnen invoeren.
Bescherming tegen MitM aanval. De pagina op jouw browser kan gemanipuleerd zijn. Je geeft dan akkoord op een andere transactie dan dat de webpagina laat zien. De scanner laat een text bericht zien (welk bedrag naar welke rekening) dat in de QR staat. En controlleert de handtekening op het QR bericht. De scanner kan iet gemanipuleerd worden. In elk geval niet op afstand en op grote schaal.
Niets, maar wij speculeren ook alleen maar op wat wij lezen in het artikel en zien in het filmpje. Logisch zou zijn dat je betaalpas dan wel nodig zou zijn in combinatie met de pincode.
Op de scanner moet je nog je pincode invoeren die vervolgens een code genereert.
Bij Rabo moet je daarom ook je eigen bankpas in de scanner stoppen om dus te bewijzen dat je:

a) bankpas hebt
b) daar de pincode van weet.

Als je enkel je vooraf ingestelde pincode hoeft in te vullen dan kun je inderdaad net zo goed dat doen denk ik?
Nee, want je wilt die pincode niet ongehasht over het internet laten gaan. Zelfs als het verkeer over TLS gaat.
Het nut is dat je naast een pincode, die relatief gezien makkelijk te vinden is, ook een andere verificatie nodig hebt.

Bij ING heb je nooit je pas nodig gehad om een overboeking te doen via internetbankieren. In plaats van een SMS komt er dus een scanner. Het is een plaatsvervanger, geen add-on.

Daarnaast, stel je pas wordt gestolen, dan kun je in ieder geval nog bij de bank met die nieuwe scanner om daar dingen te regelen, net zoals dat nu kan door een SMS te ontvangen op je telefoon.

Gebruik je de scanner niet, dan moet je de bankieren app van ING gebruiken. Eigenlijk zijn er dus twee alternatieven gekomen voor de SMS...
Dat is onveilig. Je moet nooit je pincode invoeren op de computer. Er zijn veel redenen te bedenken, zoals mallware of keyloggers die de code afkijken.
Ben je nou helemaal gek geworden? Als je de scanner uitwisselbaar maakt zonder dat de pas nodig is, dan haal je een belangrijk deel van de authenticatie weg! Alsof je bij een geldautomaat geld kunt pinnen door alleen je bankrekeningnummer en pincode in te geven, maar zonder je pas in te voeren.

Ja, ik weet dat je bij de ING ook een wachtwoord nodig hebt, maar dingen als tancodes (per sms of op papier), scanners, random readers, digipassen etc. bestaan juist om te zorgen dat je een uniek stuk hardware in handen moet hebben om (grote) bedragen over te kunnen maken. Dat is geen flaw!

[Reactie gewijzigd door 84hannes op 6 november 2018 11:47]

Ben je nou helemaal gek geworden? Als je de scanner uitwisselbaar maakt zonder dat de pas nodig is, dan haal je een belangrijk deel van de authenticatie weg! Alsof je bij een geldautomaat geld kunt pinnen door alleen je bankrekeningnummer en pincode in te geven, maar zonder je pas in te voeren.
Ik ben het met je eens, wellicht dat ze dan toch niet uitgewisseld kunnen worden, we kunnen hier nu alleen maar over speculeren zonder meer informatie.
Ja, ik weet dat je bij de ING ook een wachtwoord nodig hebt, maar dingen als tancodes (per sms of op papier), scanners, random readers, digipassen etc. bestaan juist om te zorgen dat je een uniek stuk hardware in handen moet hebben om (grote) bedragen over te kunnen maken. Dat is geen flaw!
Dit ben ik niet met je eens, de random reader is simpelweg een afgeschermd stuk hardware met een bepaalde softwarecode welke door het afschermen van de hardware gegarandeerd niet aan te passen is. Hierop werkt de authenticatie. Dat we het principe 'something you have' hierin te niet doen door het gemis aan de pas (of persoonlijke scanner) staat hier los van.
In principe zou de login (gebruikersnaam+wachtwoord) en daarnaast pincode via geencrypte methode wel vallen onder 2 factor authenticatie denk ik. Dit is uiteraard speculatie. Maar als we nu eens kijken
- Pas + code = toegang
- App + code = toegang
- PC (user/pass) + code = toegang

Nu is het verschil bij deze laatste dat er enkel sprake is van 'something you know', dus met 3 stukken informatie zou je te alle tijden er bij kunnen, waar je ook bent, of wie je ook bent.

Echter de vraag is of dat uit maakt. Want hoe kom je aan die 3 stuks informatie? Ze worden niet bij elkaar bewaard of verzonden.

Net als tancodes op papier, dan kun je ook met ING login + tancode betalingen doen. Dus in essentie wordt het er niet erger op.

Je kunt ook de pincode niet bruteforcen, omdat je de uitkomst die je krijgt met een probeersel-pincode, niet kunt toetsen. Je moet dit telkens vragen aan de server van ING. Die stopt daar wel mee na een paar keer. Tevens zal er ongetwijfeld zoals TOTP een tijdsvenster in zitten waardoor je maar beperkt de tijd hebt om uberhaupt een paar pogingen door te geven, daarna zal het vanwege de verlopen tijdelijke code al niet meer werken, ook al heb je de pincode juist, waardoor je er ook niet achter kan komen of de pincode juist is.

Zoals ik het nu beredeneer zou het mij dus niet verbazen als het kastje van de ING uitwisselbaar is.

Edit: Als je het nu eens bekijkt als een tancode 2.0: Aan de hand van je pincode + ingelogde sessie, kun je een tijdelijke tancode maken. Dit is volgens mij wel een upgrade zelfs.

[Reactie gewijzigd door Arietje op 6 november 2018 16:46]

Deze zal zonder passen werken maar zal aan de persoon gekoppeld zijn. Dat is tenminste zo te zien in het filmpje en het feit dat je bankpas met pincode bij ING (gelukkig) gescheiden is van het inloggen en bevestigen in Mijn ING.

Ik denk ook dat de scanners per persoon uniek zijn en je dus je eigen scanner moet hebben voor je eigen transacties. Dit was vroeger ook zo bij ING Bank toen de Postbank nog apart was

[Reactie gewijzigd door xFeverr op 6 november 2018 11:30]

Opmerkelijk is meer, Rabobank gaat er juist mee stoppen.

Vond het verre van ongebruiksvriendelijk, werkte gewoon erg netjes en goed (niet zoals nu bv bij IBP met challenge/response principe) en zeker voor de ouderen een goed werkend systeem. Nu iemand van 70+ maar eens uitleggen hoe mobiel werkt.. :/

[Reactie gewijzigd door SinergyX op 6 november 2018 12:17]

Kan het dat je het verre van ongebruiksvriendelijk vond? Dat stuk van je zin klopt niet echt met de rest van je commentaar, aangezien je vindt dat het netjes en goed werkte, zeker voor ouderen.
Nu iemand van 70+ maar eens uitleggen hoe mobiel werkt..
Been there done that..

Enkele weken geleden heeft ze (onder andere* vanwege ING) een smartphone gekocht omdat TAN zou vervallen. Komen ze nu met dit. 8)7 :z
*Uiteraard ook i.v.m. WhatsApp, maar ING's berichtgeving gaf wel de doorslag om het gelijk maar te doen.

@ hieronder:
I know, het was ook niet mijn keuze he. ;)

[Reactie gewijzigd door SmiGueL op 6 november 2018 14:52]

Enkele weken geleden heeft ze (onder andere* vanwege ING) een smartphone gekocht omdat TAN zou vervallen. Komen ze nu met dit.
Zolang als ING aangeeft met TAN te gaan stoppen, net zo lang geeft ING ook al aan dat ze met een andere oplossing zouden komen voor mensen die geen smartphone hebben. Ze hebben zelfs voorlichtingsessies daarvoor georganiseerd.

Tot nu toe moet je echter die smartphone ook bevestigen met een TAN-code via 'onveilige' SMS.
Ja, bijzonder inderdaad.
Rabo wil er van afstappen, ING wil er mee starten.
Overigens vind ik verificatie via app makkelijker dan via scanner, maar de laatste geeft wel een groter 'gevoel' van veiligheid.
Ik heb beide trouwens (ING en Rabo) maar prefereer app toch.
De app is niet UITSLUITEND een verificatie tool. Het is gelijk een bank terminal. Feitelijk heb je helemaal geen PC meer nodig.... En daar zi in mijn geval het probleem.

Nu heb ik ten minste 2FA.. (PC login + TAN). Op een Mobiele telefoon is het 1FA geworden.
Volgens mij is een app nog altijd een 2FA omdat je iet moet 'hebben' (de telefoon + app) EN iets moet weten / hebben (pincode, vingerafdruk, faceID)

Overigens ben ik het helemaal met je eens dat een scanner een veiliger gevoel geeft en ook waarschijnlijk iets lastiger is om misbruik van te maken.
Bij mobiele applicatie:
* App+telefoon = authenticator (betaal terminal)
* pincode = 1e factor...

wat is nu de tweede factor die onafhankkelijk is van telefoon en app en pincode?

Bij gebruik van een PC met website is:
* PC + browser + web app + username = autheticator (betaal terminal)
* password = 1e FACtor
* TAN/SMS/Telefoon+app = 2e factor.
Het hebben van mijn telefoon is niet voldoende.
Je moet er ook nog inkomen toch?

Dus dat is factor 1 (unlocken phone)
Vervolgens moet je de app kunnen openen.
Ook daarvoor heb je een (andere) pincode nodig.
Factor 2.
In mijn beleving nog altijd 2FA.

Maar wel minder veilig dan met een tweede apparaat en een pinpas die nodig zijn of via de bankieren app.
Alleen merk ik dat methode 1 (ING app) veel makkelijker werkt en het risico blijkbaar dusdanig laag is dat ik die prefereer.
Soms ben ik net een consument ;P
Elk apparaat waarvan de bediening in handen is is te openen...
De FBI heeft ook de zaak tegen Apple laten gaan omdat ze er eigenlijk geen uitspraak in wilden die waarschijnlijk negatief voor FBI zou kunnen zijn (over uberhaupt of kraken zou mogen), en ze hebben die iPhone die ze via Apple wilden laten kraken op een andere manier gekraakt....

Gezicht herkenning wordt met foto's gebroken, Vingerafdruklezers worden al jaren voor het lapje gehouden.
En als ik zie in hoeveel gevallen een eenvoudige swipe voldoende is om de betreffende telefoon te openen... want een patroontje of pincode etc. is te moeilijk, vingerafdruk faalt te vaak, en gezichtsherkenning werkt niet altijd helemaal zoals het zou moeten onder alle omstandigheden.

Dus jouw factor 1 is niet helemaal een factor, als het al een factor zou zijn.
Ik kan alleen maar over mijzelf praten, maar bij mij werkt vingerafdruk prima. Eigenlijk nooit problemen m.u.v. momenten waarop het te verwachten is (natte vingers, of aan het verven o.i.d.)
Die autorisatie heb ik overigens uit staan bij m'n ing app, dus als je al binnen zou komen, heb je daar nog een pincode voor nodig.
Natuurlijk niet waterdicht, maar voor mij voldoende beveiligd.
En als ze echt willen, komen ze toch binnen.
Tegen de tijd dat ze m'n phone willen kraken vanwege mijn internetbankieren heb ik waarschijnlijk een iets ander saldo dan vandaag :)
Nu iemand van 70+ maar eens uitleggen hoe mobiel werkt.. :/
Dat iemand oud is wil niet zeggen dat ze dom zijn. Niet willen leren is niet hetzelfde als niet kunnen leren.
IBP is natuurlijk ook een heel andere tak van sport wat dat betreft. Alleen voor grote bedrijven/instellingen en je werkt met een aparte smartcard. En ook met IBP (Inside Business Payments) is er al een hoop verbeterd vergeleken met een paar jaar geleden qua gebruiksgemak.
Vind je? Geef mij oude offline programma maar, 12 jaar doorzoeken, losse exports, scripts, aparte databases, website kan je max 1 jaar zoeken, nonstop verspringende kolommen, geen correcte export (al sinds het begin, maar ze doen er niets mee).

Maar ging mij op autorisatieprincipe, waar ze ook gewoon de kleurQR hadden kunnen gebruiken ipv challenge/response principe (mobiele app kan wel, maar mogen wij niet).
Je hebt het nu over Electronic Banking (EBW) denk ik? Natuurlijk had dat ook weer voordelen en het heeft niet voor niets bijna 25 jaar bestaan. Maar juist die databases waren een pain in the ass als je niet regelmatig een back-up maakte van ebw.mdb.....

Maar we hadden het inderdaad over de beveiliging die complex is met alle mogelijke functiescheidingen en lagen plus het gebruik van een smartcard. Dat is toch wel vereenvoudigt in het gebruik als je het vergelijkt met een paar jaar terug. Of wil je graag weer terug naar de situatie dat je de reader per se met USB aan moest sluiten en je lekker liep te kloten met de Gemalto software?

Anyway, voor particuliere en klein zakelijke gebruikers lijkt mij dit een prima vervanger als je geen app op een smartphone wil of kan gebruiken al was de sms/lijst TAN code natuurlijk nog veel gemakkelijker.
SMS is wellicht achterhaalt, maar grote gevallen van skimming zijn er tot op heden niet. Daarnaast, ING wil ook af van SMS verificatie, en prefereert het gebruik van de app voor verificatie. En die methode vind ik zelf gebruiksvriendelijk, en oogt veilig....
Het is een alternatief voor de app en verder zijn er niet andere 2 factor out of band authenticatie opties die veel beter zijn.
Zeer onhandig ding inderdaad. Veel te groot voor wat het doet en het werkt niet als je NightShift of een ander blauwfilter gebruikt.

De SMS-tans zijn voor mij juist de reden geweest om zakelijk ING te blijven gebruiken. Als ik zakelijk dan toch aan de app moet lijkt Bunq me een betere keuze. (Die gebruik ik prive ook.)
Waar de Rabobank overigens weer vanaf stapt, Daar gaan ze die scanners weer uitfaseren.
Dumb phone gebruiken, geen Android malware meer en sms is veilig voor eenmalige codes. Vergt erg veel van een hacker om en de website sessie en de sms code te bemachtigen.

Eerlijk gezegd heb ik het niet zo op die bank apps op mobiel. Doet me veel denken aan alles op pc. Waar is de tweede authenticatie factor?

[Reactie gewijzigd door Rinzwind op 6 november 2018 11:49]

ING kiest niet voor een manier die onvriendelijker wordt gezien, maar maakt het mogelijk hete syteem te gebruiken zonder mobiele telefoon, als ik het goed lees. Er bestaat al validatie via de mobiele app, nu is een apart apparaat ook nodig voor mensen die daar geen behoefte aan hebben of niet kunnen gebruiken.
Dit lijkt erg op de scanner van de Rabobank
Dat komt omdat dit een standaard manier is die internationaal (minstens ook in België) verspreid is, waarbij een heleboel banken exact dezelfde hardware met wat andere kleuren gebruiken:Ik vind het goed dat ING dit als alternatieve authenticatiemethode gaat aanbieden. Ik zie veel mensen hier klagen, maar je moet onthouden dat hun primaire methode voor authenticatie via een supersimpele app gebeurt.
Slechts voor zij die geen app willen of kunnen gebruiken, wordt deze cardreader ingevoerd. Aangezien de security van SMS voor authenticatie echt beroerd slecht is, vind ik dit een goede vervanging van de TAN codes, ook al is het minder gebruiksvreindelijk. Voorwaarde is dan wel dat ING hun app op zo veel mogelijk relevante platformen aanbiedt natuurlijk.

[Reactie gewijzigd door kiang op 6 november 2018 12:46]

Ziet er beter uit dan bij rabo, ik zie geen pas uitsteken.
Dat wilde ik net zeggen. Die kleurencode heeft Rabobank ook, of lijkt er in ieder geval heel erg op.
Daarom is het ook een alternatief natuurlijk. Blijkbaar zijn er dus nog genoeg mensen die de app niet hebben waardoor de ING dit (moet) doen. Ik had het persoonlijk kunnen waarderen als ze hier geen gehoor meer aan zouden geven. Toch weer een hoop plastic wat gebruikt moet worden. Bovendien kan je als Bank uit het vooruitstrevende oogpunt voet bij stuk houden om alleen de app te gebruiken.
Als ik mij niet vergis is dit bedoeld voor de mensen die niet wensen de ING app te gebruiken. Die mensen gebruiken op dit moment nog TAN codes op papier. Dat verschilt niet zo heel veel met betalen via de scanner. In het ene geval moet je je papiertje erbij pakken en in het andere geval de scanner.
Nee. Ik gebruik geen app en geen codes op papier. Die codes ontvang je per SMS. In mijn geval op een oude Nokia.
Dat kan ook, maar dat maakt nog steeds geen verschil wat betreft gebruiksgemak :)
Toch wel. Een stuk papier (of een raboreader, etc.) moet je apart meesjouwen. Je telefoon heb je altijd bij je.
Het gaat dan ook om de mensen die een stuk papier gebruikte. De meeste mensen met de app zullen hier geen gebruik van maken, tenzij ze de app eigenlijk geen "veilige" manier vinden. Maar dan hadden ze ook voor papieren tan codes kunnen kiezen.
Zeer onveilig vind ik een erg tendentieuze beschrijving van een in principe juist zeer veilig systeem. De belangrijkste onveiligheid zit hem in de manier van gebruiken. Als je SMS ontvangt op het apparaat waar je ook op zit te bankieren, dan heb je maar 1 stukje malware nodig om in de problemen te komen (net als wanneer je met de bankapp bankiert trouwens!). Als je SMS ontvangt op een domme telefoon is het een van de allerveiligste methodes. Als je SMS ontvangt op een smartphone waar je niet op bankiert, moeten zowel je smartphone als je computer/tablet met dezelfde malware geinfecteerd zijn die dan ook nog eens doorheeft dat de apparaten bijelkaar horen.
FYI, voor de mensen die zeggen dat ze dit kennen bij andere banken, uiteraard is dit zo. Dit is een Cronto "QR" code gemaakt door Vasco.
https://www.vasco.com/pro...nticators/crontosign.html

Inmiddels gebruikt door veel banken (in België Keytrade en in Luxemburg door de banken die Luxtrust ondersteunen en dit toelaten).
Vasco kennen we allemaal nog wel van de hardware tokens. ;)
Dit is een Cronto "QR" code gemaakt door Vasco.
Inmiddels gebruikt door veel banken
Het eerste wat ik lees:
''Log in with Push Notification on mobile''

Valt af.
Volgende.
Waarom valt het af dan?

Je hebt helemaal geen telefoon?
Geen mobiele. Geen scanmogelijkheden. geen apps.
Dan kan je nu dus een scanner kopen :)
Dan kan je nu dus een scanner kopen :)
KOPEN ?!
Ok, dan kun je em aanvragen en dan gaan een paar dagen later je bankkosten met een Euro per maand omhoog. Wat jij wil. :)


Even serieus, er is een EU directive die banken verplicht de daadwerkelijke kosten te berekenen. Dit om de werkelijke kosten van een rekening inzichtelijk te maken voor gebruikers.
Ok, dan kun je em aanvragen en dan gaan een paar dagen later je bankkosten met een Euro per maand omhoog. Wat jij wil. :)
Tja het is niet anders. Het is een noodzakelijk kwaad waar ik niet op zat te wachten.
Met een euro per maand wel goedkoper dan aanschaf en abonnement van een smartphone.
Wat betalen de klanten van andere banken trouwens voor zo'n ding ?
Bij de rabobank kost deze 14,95 eerste krijg je van hun. Gaat deze defect, verloren of wil je een tweede zul je de kosten moeten betalen
Bij de rabobank kost deze 14,95 eerste krijg je van hun. Gaat deze defect, verloren of wil je een tweede zul je de kosten moeten betalen
Dat valt mee.
Ik zou het niet weten. Ik woon zelf niet in Belgie of Nederland. Waar ik woon moet je ¤20 betalen voor zo'n ding. Maar goed, dan is ie van jou.

Ik denk trouwens dat de bank nog best wat aan licenses moet betalen aan de maker van die codes. RAS tokens zijn ook niet bepaald goedkoop.
Geen mobiele. Geen scanmogelijkheden. geen apps
Ik weet niet helemaal of je nu wel of geen dumbphone hebt, omdat je het later specifiek over een smartphone met abonnement hebt wat je hier niet voor nodig hebt.

Op een dumbphone kun je gewoon push berichten ontvangen, zelfs op een huistelefoon kun je SMS berichten ontvangen (of is die technologie zelfs al achterhaald).
Er zijn beveiligings eisen waaraan banken moeten voldoen voor dit soort zaken (PSD2 RTS). De beveiliging van SMS is te zwak om daar aan te voldoen. SMS mag dus niet gebruikt worden..
Voor blinden is dit dus totaal geen oplossing. Het voordeel van de sms was juist dat de telefoon deze kon voorlezen. Ben je straks dus volledig afhaneklijk van iemand anders om je eigen rekening te gebruiken.
Niet zo vreemd dat dit ING hier vanaf wilt. SMS OTP is al lange tijd door NIST sterk afgeraden om nog gebruikt te worden. Hun advies is om bij nieuwe implementaties hier niet meer op te rekenen en een roadmap te voorzien om het uit te faseren.

Een van de adviezen zijn dat de OTP pas leesbaar is na authenticatie. Bij een SMS komt dit bijna altijd binnen als notificatie en dus gewoon leesbaar zonder op de GSM te moeten authenticeren.
Daarnaast zijn hacks waarbij je sms'en kan afluisteren niet nieuw.

NIST is niet zo maar een advies dat je naast je neer kan leggen en hiernaar wordt vaak gekeken en vanuit gerefereerd als men praat over bancaire beveiliging.
Eigenlijk nog frappant dat een grote bank als ING dit nog ondersteunt (al is Frankrijk ook wel een land waar dit courante praktijken zijn). In België zie je dit eigenlijk bijna nergens. Hier is men meteen begonnen met kaartlezers en zijn sms via OTP eigenlijk enkel terug te vinden bij kleine banken die geen debetkaart uitgeven.

https://pages.nist.gov/800-63-3/sp800-63b.html
Ben juist bij ING zodat ik die irritante reader niet heb, helaas gaan de tan codes per sms weg.
Werkt gewoon altijd veilig en goed
Op zich nog een interessante toevoeging in mijn ogen: ING gaat nu een systeem invoeren wat Rabobank juist wil gaan uitfaseren.

nieuws: Rabobank begint dit jaar met uitfasering van Rabo Scanner
de systemen verschillen significant.
De ING oplossing is onafhankelijk van een pas; er hoeft geen pas in, en kan dus ook gebruikt worden door klanten die geen bankpas hebben/willen/mogen.
De Rabobank oplossing vereist dat je bankpas erin wordt gestoken.
Merk op dat ze niet aangeven dat hij eruit gaat, maar dat de focus op de app komt te liggen. Ik verwacht dat ze de scanner nog wel als fallback gaan houden.
Dat is imho de beste oplossing, makkelijk via de app als het kan, maar wel een betrouwbare backup in de vorm van die scanner.
Wat mij betreft wel. Als je iets op de PC zit te bestellen dan heb ik bijna altijd die scanner nodig. iDeal QR is een ding, maar ik heb het pas bij één webwinkel gezien.
Ligt dat niet aan je bank / betaalprovider die de site gebruikt? Ik heb mijn random reader van ASN al maanden niet gebruikt. Alles gaat via een qr code en de app op mijn telefoon.
Ik heb geen Rabobank, maar bij de banken waarmee ik betaal (waaronder ING) wordt dit aan de kant van de bank geregeld en is het daardoor gewoon bij elke webwinkel aanwezig.

[Reactie gewijzigd door Id3ntityX op 6 november 2018 12:10]

Ja ze hebben maanden geleden daar over gemaild, QR codes in je betaling, maar de iDeal omgeving van de Rabobank lijkt niet te zijn geupdated, ik heb ook altijd de scanner nodig. Zou mooi zijn wanneer ze daar zo'n QR code aan toevoegen.

Dan nog steeds vindt ik het belangrijk een backup te hebben voor bankzaken ipv alles aan de telefoon koppelen
Puur als oplossing voor mensen die geen smartphone hebben. Zolang je gewoon een smartphone met de ING-app hebt hoef je die scanner niet te gebruiken. Net als nu.
Puur als oplossing voor mensen die geen smartphone hebben.
Of een Windows smartphone. ;)
En nog een stukje veiliger dan een SMS TAN-code ook nog, immers kan SMS afgeluisterd worden waar dit met een hardware reader niet zou kunnen. Maar ook het nadeel van de randomreaders zoals we bij anderen kennen, je zult deze bij je moeten hebben, waar je eerder met een dumbphone ook nog een SMS kon ontvangen. Ook lijkt het een nadeel te zijn dat deze scanners niet uitwisselbaar te zijn tussen klanten. Waar dit bij andere banken wel mogelijk is, maar waar je weer je je betaalkaart nodig hebt.

Ergo, voor de klanten die geen gebruik kunnen of willen maken van de mobiele app is dit een alternatief, er is te argumenteren dat dit lastiger is dan een SMS, maar het is ook veiliger. Goed dat ING in ieder geval luistert naar haar klanten en dit probleem tackelt.
SMS is in praktijk vrijwel niet af te luisteren. Er is ook nog nooit in het nieuws geweest dat er misbruik werd gemaakt van de TAN via SMS.

Een app heeft ook gewoon tekortkomingen en veiligheidsproblemen en een reader is extreem gebruikersonvriendelijk.
Precies, hackers hebben toegang gekregen tot reddit via accounts van medewerkers beveiligd met SMS maar over banken hebben we nog niets gehoord ...

https://krebsonsecurity.c...sms-based-authentication/
Wat kan iemand met een tan code sms doen dan, als die hem onderschept?
Je phisht de inloggegevens, logt in, doet een betaling, onderschept de TAN-code SMS en gebruikt die om de betaling te authentiseren.
En om een SMS af te lezen moet je of bij de provider op het netwerk zitten, of bij de telefoon in de buurt, waar je met een App gebruiken in theorie (security bug enzo) dit allemaal op afstand zou kunnen doen en complete controle hebben over meer dan een enkele transactie.

Zo heeft alles ze voor en na delen, Ik ben persoonlijk ook niet echt fan van een App op je mobiel want in plaats van een losse 2nd factor word je mobiel zowel de login, als je auth, en dat gaat nou juist weer tegen de 2 factor in.
En om een SMS af te lezen moet je of bij de provider op het netwerk zitten, of bij de telefoon in de buurt, waar je met een App gebruiken in theorie (security bug enzo) dit allemaal op afstand zou kunnen doen en complete controle hebben over meer dan een enkele transactie.
Je kunt dit doen in de buurt door je voor te doen als een antennemast voor de ontvangende telefoon. En de andere kant op de IMSI te spoofen bijvoorbeeld. Het kan zeker of het gemakkelijk is en waarschijnlijk is dat het Jan Modaal overkomt op het moment niet.
Zo heeft alles ze voor en na delen, Ik ben persoonlijk ook niet echt fan van een App op je mobiel want in plaats van een losse 2nd factor word je mobiel zowel de login, als je auth, en dat gaat nou juist weer tegen de 2 factor in.
Niet perse, als je op de computer inlogt is je telefoon alleen de auth, met de huidige constructie is het dan: inloggen op computer, 5-teken code/fingerprint op telefoon, scanner op telefoon. Dus something you know, something you have zijn wel degelijk apart.
Als we het hebben over alleen de telefoon bankieren dan is het één device, maar nog steeds something you know en something you have.
Nou ja de App, moet je met de zelfde pin code Authenticaten voor een betaling, als dat je inlogt op de app, dus dan heb je wel degelijk beide op 1 plek, en in theorie, met een (niet heel waarschijnlijke) login pin af vangen van de App heb je eigenlijk alles op 1 plek, al moet je wel de malafide betaling via de mobiel laten lopen (gezien ik aanneem dat je niet zo maar de App ergens anders kan installeren aan de hand van de App login pin, en je het eerst moet koppelen aan een rekening met een token van de website). Dus ja de kans is wel klein, maar niet onmogelijk. Maar een telefoon is toch lastiger te zien of er malafide zooi draait dan op een PC.
Dus ik blijf er bij, dat een SMS toch echt zo gek niet is, ja het is af te vangen, maar daar moet aardig wat moeite voor worden gedaan, en dan moet je ook al de login voor de website hebben. Het zelfde geld voor de App, maar mogelijk heb je daar nog veel meer impact mee omdat er mogelijk complete controle over de app.
Het is op Android tegenwoordig prima mogelijk bepaalde zaken te controleren en af te dwingen. Zo kun je bijvoorbeeld zonder root-access geen screenshots maken of screenrecordings maken van de ING-app. Een andere app kan dit (zonder gebruik te maken van een exploit) ook niet. Ook kun je middels Google (SafetyNet) als developer (ING in dit geval) zien of iemand zijn telefoon geroot heeft, als dit zo is sluit je de gebruiker uit van het gebruik van je app.

Dus kun je wel degelijk zeggen dat de App veilig is, lijkt of kan zijn. En zeker meer dan plain-text SMS-berichten.
Ja, dat klopt, maar niet iedereen zit op de nieuwste android variant, er zijn nog vele (deels outdated) versies in de omloop van android (ook echt wel 1 van de issues van android). Fabrikanten die veel sneller de updates laten vervallen dan de levensduur van een telefoon (ik neem aan om lekker een nieuwe telefoon te kunnen verkopen) nou maakte me dat in het verleden midden uit,maar door dit soort apps enigsinds te forceren (Ik ga absoluut niet een stom kasje ten alle tijden bij mij hebben om een betaling te kunnen doen) Dus voor mij was een SMS met code ideaal). Maar nu word je dus, als je die zelfde soort functionaliteit wilt houden, geforceerd om mogelijk een niet rooted telefoon te hebben (Moet ik toch zelf weten of ik dat doe?) Een te oud OS is mogelijk onveilig, of ING zegt ineens dat ze (bij wijze van) nu stoppen met android 7 support, dan hang je meteen met een app, het is gewoon weer een afhankelijkheid, maar er is geen alternatief, want een kasje is al helemaal niets..
Fabrikanten die veel sneller de updates laten vervallen dan de levensduur van een telefoon (ik neem aan om lekker een nieuwe telefoon te kunnen verkopen) nou maakte me dat in het verleden midden uit,maar door dit soort apps enigsinds te forceren (Ik ga absoluut niet een stom kasje ten alle tijden bij mij hebben om een betaling te kunnen doen) Dus voor mij was een SMS met code ideaal)
Maar hoe is dit dan ineens veiliger dan de app, immers kunnen oude telefoons of telefoons die geroot zijn wel degelijk TAN-codes per SMS ontvangen waar er malafide apps dit kunnen afvangen. Terwijl ING met de ING-app zelf kan forceren of een telefoon van een gebruiker wel of niet veilig genoeg is om daarmee te kunnen internetbankieren.
Op deze manier is SMS zodoende op een smartphone inherent altijd onveiliger dan de ING-app zal kunnen zijn.
Omdat de app alles kan (toegang tot rekening) waar een sms token alleen in theorie toegang tot 1 transactie is.
ik zeg nergens dat SMS daadwerkelijk veiliger is, alleen dat je met een APP die meer kan een potentieel groter risico risico hebt in geval van inbraak (op tel). Wat misschien een goede oplossing is, een APP die een software variant is van dat hardware kasje, dus je kan er niets mee, behalve 2factor auth dat jij bent wie je zegt dat je bent. dan ken je met een losse betaling niets, en met de telefoon (zonder inlog op de rekening) ook niets.
En om een SMS af te lezen moet je of bij de provider op het netwerk zitten, of bij de telefoon in de buurt, waar je met een App gebruiken in theorie (security bug enzo) dit allemaal op afstand zou kunnen doen en complete controle hebben over meer dan een enkele transactie.
Een SMS op een smartphone is ook remote uit te lezen als de telefoon gehacked is. Waarschijnlijk is het hijacken van de SMSstore nog makkelijker dan het hacken van de app. Dus dit kan een hacker vanuit zijn luie stoel doen.
En een SMS die ik ontvang op een Nokia 3310?
Dat kan inderdaad. Ik had het ook over specefiek smartphones, die toch wel bij het merendeel van de gebruikers vertegenwoordigd is, denk ik.

[Reactie gewijzigd door ocf81 op 6 november 2018 23:03]

tja, dan moet je dus wel eerst de inloggegevens kunnen phishen, kunnen inloggen, EN de tan-code kunnen onderscheppen. dat zijn behoorlijk wat IF's.. terwijl bij de ing app op de smartphone men alleen de telefoon nodig heeft en men dus betalingen kan doen die men wil.
Het is wel ideaal alleen niet in die zeer onwaarschijnlijke situaties.

Hoe vaak gebeurd dat nou?
Wat slecht dit, ik gebruik al jaren een tancode die ik via SMS ontvang, mobiel heb ik altijd bij me dus erg eenvoudig. En straks kan ik dus altijd een calculator meenemen om betalingen te doen.

(mobiele app heb ik niet want bij onze en/of rekening mag er blijkbaar maar 1 van de 2 de app gebruiken, ING krijgt dit niet opgelost, zegt dat ik maar een extra prive rekening moet aanvragen).
(mobiele app heb ik niet want bij onze en/of rekening mag er blijkbaar maar 1 van de 2 de app gebruiken, ING krijgt dit niet opgelost, zegt dat ik maar een extra prive rekening moet aanvragen).
Dat vind ik raar, mijn vrouw en ik hebben allebei toegang tot onze en/of ING-rekening in de app, tevens heb ik de app zowel op mijn telefoon als tablet, dus dat zijn al 3 devices?
Hebben jullie ook slechts 1 login voor de en/of, of 2 verschillende?
Ik gebruik voor mijn eigen rekening de app op mijn telefoon en tablet.

1 login. 1 bankreking... 1 persoon. Is het niet zo dat je al te veel apps geactiveerd hebt? Je kan deze verwijderen via de (oude) ing portaal. Je ziet dan ook welke laatst gebruikt is, dus kun je de oude weg halen.

Atleast, thats how I do it.
Bij en/of rekeningen van de ING heeft. Iedereen zijn eigen login.
Wij dus niet, wij hebben slechts 1 login voor internetbankieren.
Klinkt meer alsof jullie een normale rekening misbruiken als en/of rekening. Of dat er wat fout gaat bij ING, mogelijk bij hun informeren?

Bij en/of heeft normaliter ieder zijn eigen login.

[Reactie gewijzigd door watercoolertje op 6 november 2018 11:41]

Ik kan mij dus wel voorstellen dat als jullie alleen de en/of hebben, dat er maar 1 toegangspoort is. Het is per slot van rekening ook maar gewoon één enkele rekening...

Ik heb een eigen rekening en mijn vriendin heeft ook een eigen rekening. Daarnaast hebben we een en/of. Dus in totaal 3 rekeningen. We hebben beiden verschillende inlog gegevens, als een van ons beiden inlogt dan ziet deze zowel de eigen rekening als de en/of (maar niet de privé rekening van de ander). Dit werkt prima.
Dat is echt heel apart. Wellicht omdat jullie maar 1 rekening hebben in totaal?
Mijn vrouw en ik hebben ieder een eigen rekening en onze en/of rekening. Dat werkt gewoon op 1 app. Dan zien we allebei onze eigen rekening, maar ook de gezamenlijke.

Extra rekening hoeft niet erg te zijn zolang zij er zelf maar voor betalen.
Ja wij hebben maar 1 rekening bij ze en dat is een en/of rekening. Onze prive rekeningen staan bij de ABN/RABO.
Extra rekening zitten kosten aan verbonden dus bieden ze niet gratis aan.
Ik denk dat je dit relatief makkelijk op kan lossen, maar dan wel met tussenkomst van tijdelijk een extra rekening. Ik had vroeger ook een prive en gezamelijke rekening bij de ING. De priverekening heb ik naderhand ongedaan gemaakt omdat ik er alleen loon op binnenkreeg en door aan het sluizen was. Ik heb dus door die priverekening wel een aparte login en nu kan ik met die aparte login alleen gebruik maken van de gezamelijke rekening. Mijn vrouw heeft nog wel een aparte rekening erbij, maar ik ga er vanuit dat wanneer ze die op zou zeggen we dus met 2 Mijn ING accounts tot dezelfde rekening toegang blijven houden. Overigens weet ik dat dan niet 100% zeker. Maar het zou dus kunnen dat wanneer je een nieuwe rekening opent en een aparte Mijn ING krijgt je daar ook de gezamelijke rekening aan laat koppelen en als je dan je prive weer ontkoppelt je alsnog een login overhoudt. Maar dat zou de ING je zelf ook moeten kunnen vertellen lijkt me :)

Wat overigens wel apart is is dat ik in het vooruit kijken wel mijn salaris netjes aangegeven zie staan maar dat van mijn vrouw niet ondanks dat het ook elke maand op de gezamelijke rekening binnenkomt. Maar dit zal wel ergens anders mee te maken hebben.

[Reactie gewijzigd door orange.x op 6 november 2018 11:16]

Is het niet gevaarlijk om die code op te laten sturen naar dezelfde telefoon die je gebruikt om betalingen te doen?
Als iemand je telefoon in handen krijgt dan heb je niks meer aan die 2e factor.
tja, is het nu ook niet gevaarlijk als iemand jouw telefoon in bezit krijgt? en het is IMHO veiliger om op een andere device je betaling te doen terwijl je op device b dan de code krijgt, en tja, een app kan dan rustig die code jatten, maar heeft er totaal niets aan, omdat die code alleen maar werkt met 1 bepaalde transactie waar jij al goedkeuring op device A voor hebt gegeven en de code alleen nog nodig hebt voor de bevestiging.
Het is minder veilig, maar om het nou gevaarlijk te noemen. Het is niet dat ie een kettingzaag aan ze nichtje van 3 geeft...

Als je telefoon afgepakt wordt dan moet er alsnog ingelogt worden bij ING.
Klopt. Er wordt in dit geval meer gedacht aan meerdere stukken informatie die nodig zijn voor de transactie dan dat er gedacht wordt aan het benodigd hebben van meerdere gescheiden apparaten met verschillende stukken informatie. Het eerste is niet echt een goede ontwikkeling want de malware die gericht is op (mobiel) bankieren wordt ook steeds geavanceerder en heeft dan in theorie alle informatie op hetzelfde apparaat beschikbaar.
Wellicht een oplossing om elkaar te machtigen? Dan krijg je in 1 app meerdere rekeningen te zien?
Apart. Wij hebben namelijk ook alleen een en/of rekening en die benaderen we via 2 telefoons en 1 iPad...
Ik heb zelfs tijdelijk 2 telefoons gehad, waarmee het totaal op 4 kwam.

Lijkt me dus iets voor ING om op te lossen!
Ben het met je eens hoor, vind zelf de SMS tancode perfect werken. De kans dat die tancode onderschept kan worden (en zinvol gebruikt kan worden) is zo minimaal, dat de kans op dat je smartphone gejat wordt en dan betalingen worden gedaan veel groter is. En de mobile app draaien vind ik zelf dus riskanter dan de tan via sms te ontvangen en dus op het andere device (of via de webbrowser indien nodig op je smartphone) de betaling te doen.
Je hebt niet goed gelezen. Dit is alleen voor mensen die geen mobiel hebben om een alternatief te kunnen bieden. (denk oude mensen die technofoob zijn ofzo).
Nee, jij hebt het niet goed gelezen.
Dit wordt het alternatief voor IEDEREEN die op dit moment om wat voor reden dan ook afhankelijk is van tan-codes. Hetzij op papier danwel sms.
Ik zal er met mijn Lumia 950 ook aan moeten geloven omdat er gewoonweg geen andere mogelijkheid voor mij overblijft.
Ik baal hier persoonlijk behoorlijk van gezien ING tot op heden de enige was waarmee ik zonder extra gedoe gewoon kon betalen als ik alleen mijn telefoon op zak had...
Sorry, je hebt gelijk. Waar ik mobiel zeg had ik smartphone moeten zeggen. (Mogen we een Lumia 950 tegenwoordig ook niet meer toe rekenen natuurlijk ;) (/s) )
Ja de lumia 950 begint langzaam aan te degraderen naar feature foon dat wel :X :+
De lumia 950 is dan nog wel een smartphone, maar waarschijnlijk draait daar dan dus niet (meer) de huidige ING app op, waardoor je dus verplicht bent om bv tan via sms te gebruiken.
Er is ook geen app voor mensen met windows phone, en daar zitten ook jonge techneuten bij.
Of gewoon zwaar paranoide, zoals ik.

Ik wil m'n telefoon niet gebruiken voor internetbankieren, op geen enkele manier.
Same here.. bankzaken doe ik wel op m'n computer... Het is gewoon een kwestie van iets meer plannen ipv last minute dingen moeten doen via je smartphone..

Bij voorkeur doe ik alles cash, de bank hoeft niet te weten in welke plaatsen ik kom en in welke winkels ik m'n geld uitgeef...
Waarom niet?
Mijn iPhone+app is het enige device waarop ik internetbankier(werkwoord?) en mee betaal. Het is het meest dichtgetimmerde/beveiligde device waarover ik als eindgebruiker beschik. Ik gebruik dus een iPhone die helemaal stock is. En een App van mijn bank. De verantwoordelijkheid ligt m.i. daarmee helemaal bij mijn bank. Ik doe alles via die App en op een totaal dichtgetimmerd device. Mijn PC heb ik zelf ROOT en kan de bank nog naar mij wijzen. Heb jij wel een AV-scanner, firewall, was je software wel up-to-date, welke browser gebruik je? etc etc enz enz.
Bij mijn telefoon kan ik alleen de vraag krijgen: Welke OS-versie gebruik jij? Verder kan ik als gebruiker eigenlijk niks met een iPhone. Dus dan ligt de verantwoordelijkheid als snel bij de bank. Met een PC krijg je al snel een welles/nietes spelletje waar ik juist ver van wil blijven.
Mijn PC draait Linux, is up to date en bovenal, ik heb inzicht in alles wat daarop draait. Wat niet wil zeggen dat ik elke regel code persoonlijk geinspecteerd heb, uiteraard.

Mijn telefoon draait ouwe Android zooi die zo lek is als een mandje en waar je (net zomin als bij de iphone) geen inzage in hebt.

In het geval van een hack zal de bank altijd "niet thuis" geven, ongeacht of je een hippe foon of een ouwe windows 98 PC hebt. Tenzij het lek in hun eigen app zit, zal de bank absoluut geen verantwoording nemen voor wat erbuiten gebeurt. Daarom heb ik liever een systeem dat ik kan controleren.

Mijn telefoon gebruik ik bijna alleen om via whatsapp berichtjes met de medeleden van de sportvereniging uit te wisselen, en om m'n vrouw een seintje te geven dat ik onderweg ben en het eten over een half uur op tafel moet staan. Ik zie niet in waarom ik een duur model aan zou moeten schaffen alleen maar om de bank een plezier te doen. De telefoon bedoel ik dan, he, m'n vrouw is al een prima duur modelletje.

[Reactie gewijzigd door cdwave op 6 november 2018 19:18]

"Mijn PC draait Linux, is up to date en bovenal, ik heb inzicht in alles wat daarop draait."
Dat is m.i. een stevig staaltje hybris.
Het gaat helemaal niet om de code doorspitten en tot de laatste regel controleren/vertrouwen. Het is m.i. een geval van verantwoordelijkheid. Die moet je als doorsnee consument, maar ook als techie, zo klein mogelijk houden. Een up-to-date stock device (Android of iOS; who cares) met de app van de bank legt m.i. de kleinste verantwoordelijkheid bij de consument/eindgebruiker. Zodra een apparaat mij in staat stelt ROOT te zijn dan ga ik er niet op bankieren. Niet omdat ik geen code kan lezen of het niet begrijp maar omdat ik never nooit verantwoordelijkheid wil dragen. Niemand kent al die regels code en kan het op basis daarvan volledig vertrouwen. 'Dom' spelen is soms zo gek nog niet... Maar dat ben ik ;)
Ik wil juist zelf de controle in de hand houden. De daarbij horende verantwoordelijkheid neem ik er dan ook met alle plezier bij.

Als je denkt dat de bank in het geval van een lek in Android ook maar enige compensatie zal verschaffen, dan ben je wel heel naief. Bij mij is een keer een bankpas geskimd, en het heeft bijna een jaar geduurd, met hulp van rechtsbijstand, om het geld terug te krijgen, waarbij ik een eigen risico voor lief moest nemen.

Ik kan voor mijn telefoon een appje downloaden en installeren om rootrechten te verkrijgen. Een keer geprobeerd, werkte prima, en geen interactie nodig. Is dat niet het tegenovergestelde van wat je zou willen qua security?

Ik zou wel vertrouwen in mijn telefoon hebben als ik gewoon zelf de software erop kan samenstellen, zoals dat voor mijn PC (en voor bijvoorbeeld mijn satellietontvanger) thuis wel kan. Ik wil een build kunnen draaien op mijn PC die een image voor de telefoon compileert met daarop precies de pakketten en versies daarvan die ik aangeef. Die mogelijkheid wordt nu geblokkeerd door Google en de fabrikanten.

[Reactie gewijzigd door cdwave op 8 november 2018 11:56]

Wat is het praktische verschil tussen "zwaar paranoïde" en "technofoob"?

Fobieën en paranoia zijn beide psychiatrische stoornissen die het normale leven moeilijk maken, maar waarvoor een redelijke behandeling bestaat. Ja, die behandeling zal inhoudelijk iets verschillen - volgens mij krijg je voor paranoia medicijnen tegen waandenkbeelden, terwijl een fobie behandeld wordt met gedragstherapie. Maar dat is een medisch verschil.
Wat is het praktische verschil tussen "zwaar paranoïde" en "technofoob"?
Nou, eeh, dat het compleet andere aandoeningen zijn mischien? :)

Als ik jouw redenatie volg dan is een bloedneus hetzelfde als een ingroeiende teennagel.... Beide zijn immers fysieke stoornissen die het normale leven moeilijk maken... Jaaa, de behandeling is mischien wat anders... maar verder kun je ze prima vergelijken!!! .... :/

En buiten dat, het feit dat je paranoia bent zegt nog niet dat ze niet achter je aan zitten... :Y)
Wat is het praktische verschil tussen "zwaar paranoïde" en "technofoob"?
Technofoob: "Ik weet niet hoe het werkt dus ik vertrouw het niet."

Paranoïde: "Ik weet hoe het werkt dus ik vertrouw het niet."

(Technofoob is ook: "Ik weet niet hoe je die puntjes op 'paranoïde' krijgt.")

[Reactie gewijzigd door cdwave op 6 november 2018 11:32]

Er is dus geen praktisch verschil: onafhankelijk van de oorzaak, de persoon wantrouwt de technologie en maakt er dus geen gebruik van.
In beide gevallen is de oplossing overigens: informatie verschaffen. Waarbij dan weer de idiote situatie kan ontstaan dat je de technofoob zodanige informatie geeft dat hij paranoïde wordt :)
De informatie voor de paranoide medemens zou kunnen bestaan uit een risico-analyse. Hoewel een eigenschap van paranoide mensen dan weer is dat ze die risico-analyse niet vertrouwen.
[zucht]
Er is vast ook een naam voor mensen die alles zwart of wit willen zien en niet geloven in grijstinten.
Waarom moet iemand meteen technofoob zijn als hij geen smartphone heeft???


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True