ING-klanten kunnen volgend jaar scanner krijgen als alternatief voor mobiele app

Allereerst: regel een telefoon met vingerafdrukscanner.

Je 'telefoon' is inmiddels veel meer dan dat, eigenlijk ook je 'bankpas'.
Misschien vind het het ook vervelend dat je elke keer je pincode in moet voeren, maar dit is een noodzakelijke beveiligingsmaatregel.

Je staat dus voor de keuze: of je telefoon alleen voor bellen gebruiken, of beveiligen.

Ik vind het bloedirritant om mijn telefoon elke keer te moeten ontgrendeld met de een of andere code of schermcombinatie. Ik heb 'm dus nooit vergrendeld.

En je hebt er wel mail opstaan, een telefoonboek en er zit een simkaart in? TAN codes en andere 2FA codes ontvang je er misschien ook op? Als je er echt alleen mee belt, kan ik er heel misschien nog inkomen, zodra je er meer mee doet dan dat ( zoals mail bijvoorbeeld ) is het gewoon achterlijk om dat niet te beveiligen.

Het lijkt mij dat er veel meer mensen zijn die dat niet willen.

Ja, er zijn ook mensen die hun gordel niet om willen doen in de auto. Dat maakt het niet minder dom.

Zijn punt is dus: het kan heel erg onveilig zijn omdat veel mensen hun telefoon standaard nooit vergrendelen.

Ik ken ze niet. Tot aan mijn oma aan toe is de telefoon gewoon vergrendeld. En ja, dan moet je wel eens unlocken. En dat is vervelend, totdat iemand al je wachtwoorden veranderd omdat hij in je mail kan, dan is het ineens heel erg vervelend dat je geen code op je telefoon hebt.

Daarom draai ik geen Windows. Ja, dat is te kort door de bocht maar ik wil hier niet ook nog een OS-discussie gaan voeren.

Da's een puntje ja, tenzij je dus OS-X gebruik want daar zitten ook al best veel gaten in, al is het niet zo erg als Windows. De meeste mensen kunnen of willen echter niet om Windows heen. Als die ipv hun Windows PC voortaan de telefoon-App gebruiken zijn ze echt wel veiliger.

Tenzijn ik die app ook gebruik.

Alleen als je die app ook gebruikt én dezelfde code gebruikt voor het unlocken van je telefoon en voor het inloggen/transactie bevestigen op de app. Gebruik je verschillende codes, dan is het alleen mogelijk als ze meekijken bij én het ontgrendelen van de telefoon én bij het openen van de app. Doe je dat laatste alleen thuis, dan is het probleem al weg. Daarbij gaat het hier om een code van 5 cijfers, dus veiliger als de pin-code (10.000 keer zoveel combinaties). Voor het ontgrendelen van je telefoon kun je zelfs 6 of meer cijfers gebruiken.

Als ik goed naar de vingerafdrukscanner op mijn telefoon kijk dan zie ik een afdruk van mijn vinger. Makkelijk dupliceren is het niet, maar ik laat ze wel overal achter. Als iemand rustig de tijd neemt is het makkelijk om aan mijn vingerafdrukken te komen.

Klopt. Dat moet dan wel iemand zijn die vertrouwd is met het verzamelen van vingerafdrukken (politie), enigszinds tech-savy is, of de moeite wilt doen om het zich aan te leren. Als er bij jou veel te halen is, bv omdat algemeen bekend is dat je veel geld hebt, dan zal er wel iemand zijn die deze moeite wilt doen. Bij de meeste mensen in hun omgeving is dat niet het geval. Dan betreft het echt een gelegenheidsdief, en terwijl die jou kan best observeren, evt met een verrekijker, is het verzamelen van vingerafdrukken toch al een ander verhaal. Weet die persoon toch jouw telefoon te ontfutselen en zonder je de code in ziend typen,via de vingerafdrukscanner je telefoon én je app te ontgrendelen, dan kan hij inderdaad een malafide overschrijving doen, maar dan is altijd te traceren naar welke rekening hij overmaakt. Dan moet hij dus ook al de beschikking hebben over een geldezel.

Als die app niet in de openbaaarheid mag gebruiken dan heb ik die software liever helemaal niet op mijn telefoon.

Dat is ook een optie, dan zet je die app alleen op een extra telefoon die je huis/kantoor niet uit komt. Dan scherm je dat probleem ook af. Ja die telefoon kan makkelijker door een inbreker meegenomen worden als een 9kg zware game-pc, maar dan moet hij dus ook weten dat daar die app op staat en die ook nog weten te vinden. Een 4" Wiko Sunny is daarbij met €44,31 ook nog eens fors goedkoper als welke tweedehands budget-pc dan ook.

Ik ben bang dat dit model niet lang meer houdbaar is. Betalen met je telefoon zit er van alle kanten aan te komen. Dat gaan we niet tegen houden. Ik richt me dus liever op hoe ik het veilig kan doen.

Bedoel je in de winkel, ipv pinnen. Ja daar zijn ze mee bezig. Vooralsnog moet je (na 6 maanden) per maand €0,50 extra betalen daarvoor. Dan haal ik mijn betaalpasje nog wel een keer tevoorschijn, waarvan niet de batterij leeg kan zijn.

Mocht het zo zijn dat ook overmaken via de browser verdwijnt, ja da's jammer. Het enige dat we daartegen kunnen doen is de browser zoveel mogelijk blijven gebruiken. Dan kun je inderdaad zo'n scanner gaan gebruiken of je overschrijvingen consequent in de browser invoeren en bevestigen via de telefoon. In jouw geval zou ik dus voor zo'n scanner kiezen. Gezien het registreren van een tablet of telefoon nu ook met een TAN via SMS gaat, wil ik ook wel eens weten wat daarvoor in de plaats komt. Als nu je telefoon ermee ophoudt, dan zet je de sim over en je krijgt de TAN-codes binnen op het nieuwe apparaat. Dat verdwijnt dus ook.

Het vervelende is dat browser-bankieren op een mobiel device dus ook niet meer gaat, althans bij ING. Je krijgt een bepaald scherm waar je niet uit kan.

Nee hoor, ik heb op ieder apparaat dat ik heb een passwordmanager. Het synchroon houden van data in die passwordmanagers is inderdaad een uitdaging, maar niet zo heel anders als het synchroniseren van andere bestanden.

Bij de passwordmanagers die ik gebruikt heb, was in ieder geval kopiëren niet genoeg.

Het is ook niet nodig dat al mijn apparaten al mijn wachtwoorden hebben.

Nee, maar toch minimaal 2 zou ik zeggen, een hoofdapparaat en een backup-apparaat. Daarnaast dus eventueel werk en thuis-apparaat (dan kom ik dus op 3 of 4) al zullen dat niet volledig dezelfde wachtwoorden zijn. Het is dat alle usb-sticks die ik persoonlijk gehad heb tot nu toe allemaal op een gegeven moment niets meer deden (op de laaste na) en ook wat betreft de smartphones, de exemplaren voor de laatste (< 1 mnd oud) hielden er plotseling mee op waarbij ik er één nog twee maal met verlies van alle gegevens, opnieuw heb kunnen resetten. Google wilde daarna wel een backup terugzetten, maar niet wat er op dat apparaat had gestaan, maar enkel dat wat er op de 8mb youtube-telefoon van m'n dochtertje staat, dus alleen 'my little pony' spelletjes en zo.

Het menselijke geheugen is beperkt. Ik heb honderden wachtwoorden. Het is onmogelijk om die allemaal te onthouden.

Dan moet je snijden. De meeste accounts zullen er zijn die je al maanden niet meer gebruikt hebt, waarschijnlijk al jaren niet. Waar je er niet omheen kunt, kun je passwords verzinnen die voor jou logisch zijn om te onthouden maar verder volkomen random lijken.

Sommige van die wachtwoorden hebben meer dan 50 tekens, andere wachtwoorden veranderen iedere zes maanden.

Die 50 tekens zijn random echt te lang om te onthouden. Je kent vast wel het correct battery horse staple voorbeeld hoe je lange wachtwoorden kunt maken die wel te onthouden zijn.

Ik kan die echt niet onthouden zonder onveilige kunstjes.

Die moet je ook niet gebruiken maar veilige kunstjes wel.

Ik wil daarom niet dat alle veiligheidsmaatregelen op één device staan, of dat nu een telefoon of een PC is.

Op zich een goed uitgangspunt. Zoals ik boven al schreef: " In jouw geval zou ik dus voor zo'n scanner kiezen."

ING heeft al diverse keren kritiek gekregen omdat het TAN-code systeem niet veilig zou zijn. Dat focuste zich vooral op de papieren TAN-code lijst maar dat lag toch vooral aan het feit dat mensen misleid werden om deze codes door te geven via andere sites, telefoon e.d. Social engineering blijkt ook elders steeds weer te werken omdat beveiligingssystemen steeds weer te ingewikkeld blijken voor een groep gebruikers waardoor of mensen misleid worden om ze te omzeilen, of mensen die er moeite mee hebben (niet begrijpen, codes niet kunnen onthouden) zich gedwongen voelen die systemen te omzeilen. Het bekendste voorbeeld is het steeds weer geforceerd wachtwoord moeten veranderen op sommige systemen waardoor mensen overgaan tot het gebruik van passwords als kiekeboe1, kiekeboe2, kiekeboe3 oid. Een ander voorbeeld is de duizenden passwords waar @CAPSLOCK2000 in één van zijn andere reacties over schrijft. Voor mij is het simpel, weet ik een wachtwoord voor een site niet meer, dan doe ik een password-reset en dat kan dus betekenen dat ik iedere keer als ik op die site wil inloggen het password moet resetten.

De enige keer dat ING echt de fout in ging in deze, is dat ze bij mensen die aangaven hun inlogcodes kwijt te zijn zowel de gebruikersnaam als het password door gingen sturen via sms.

Ik zeg niet dat het onveilig is.
Het is niet dynamisch gelinked, een eigenschap waar steeds meer waarde aan wordt gehecht.
Papieren TAN codes zijn niet dynamisch; In de generatie van de papieren TAN codes is niet een doelrekening of een bedrag bekend.

Welkom op tweakers no scope.
"pincode" en "wachtwoorden" zijn in mijn ogen maar termen, de functie is van beiden is hier identiek, een bescherming laag van mijn bankrekening.

Ik zie de vergelijking als volgt:

• Als iemand nu toegang krijgt tot mijn desktop PC en een illegale boeking wil doen met mijn rekening, moet zij a) mijn Windows wachtwoord weten, b) mijn ING wachtwoord met meer dan acht cijfers en letters en tekens kennen, en c) ook nog eens een TAN code invoeren bij de overboeking.
• Als iemand nu toegang krijgt tot mijn iPad en een boeking wil doen met mijn rekening, moet zij a) mijn iPad unlock code kennen (ik gebruik fingerprint, maar dan kun je ook nog steeds een code invoeren), b) mijn ING app pincode van 5 cijfers kennen, en er is geen c), er is dan geen verdere blokkering voor toegang.

In feite is de rol van de pincode app groter dan die van het wachtwoord op de site voor wat betreft overboekingen, dus ik blijf het vreemd vinden dat je het niet beter kunt beschermen.

Die app werkte perfect. Nu hebben ze zelfs de browser onmogelijk gemaakt op mijn Lumia 950.

Je moet alsnog een 5 cijferige pincode invoeren om te bevestigen, of een fingerprint. Volgens mij is de ING app ook extra beveiligd want je kunt bijvoorbeeld geen screenshots maken in de app. Ook zie je geen gegevens als je het tabblad met laatst gebruikte apps opent.

Het is gewoon een uitbreiding van hun service, voor wie niet graag met de App werkt. Ouderen of niet, een goede stap van ING.

Maar zullen genoeg ouderen zijn die het niet willen of niet kunnen bijhouden. Het is goed dat ze aan deze doelgroepen denken.

Bij veel ouderen is het ook vooral het niet willen gebruiken. Als ze echt moeten, dan lukt het ze heus wel, maar sommigen zijn digibeet omdat ze dat willen.

En terecht! De ondersteuning voor Windows 10 Mobile loopt nog tot uiterlijk juni 2019.

ING vindt jouw Lumia onveilig.
Je mag wel een Android 4.4 gebruiken.

Het gaat niet om mensen zonder smartphone, maar mensen die niet voor een Android of iOS smartphone kiezen.

Edit: Dit vraagt om een toelichting:
Het officiële statement van ING was echt dat er geen support meer zou zijn voor Windows Phone. (Technisch gezien klopt dat, want inmiddels is (was) Windows Mobile de norm en moest iedereen van WP naar WM om ondersteund te blijven. Deze onduidelijkheid zal zeker niet aan de populariteit hebben bijgedragen.)

[Reactie gewijzigd door Anoniem: 120539 op 23 juli 2024 12:44]

Heb het ook wel eens gehad dat ik 6000 cash betaalde voor een auto, en die persoon dat bij zijn bank wilde doen, en hij stortte het direct met dus de bevestiging dat het niet vals was.

In Belgie is het alvast zo dat je met twee telefoons werkt, waarbij de verkoper een bedrag invult en dan een QR code laat scannen. Die ziet dan na het goedkeuren door de betaler dat de betaling weldegelijk gebeurd is op z'n eigen telefoon.

Ik zie niet in waarom je op een ander z'n telefoon zou gaan kijken voor de bevestiging.

Bij 4 verschillende cijfers heb je in theorie maximaal 24 pogingen nodig om de correcte te gokken. Dus 50% kans dat je binnen 12x proberen de goede code hebt.

Vooral voor sleutelkastjes etc. waar soms geen 'na 3x op slot' beveiliging op zit onveilig.

Zo moeilijk is het niet, veel makkelijker om gewoon iemand een malafide app te laten downloaded, zat mensen die gewoon Candy crush toestemming geven om SMS te lezen.

Waarom PC?, je kan betaling ook gewoon vanuit de bank-app direct regelen...
In zo'n geval is een telefoon geen 2FA.

Bij mobiele applicatie:
* App+telefoon = authenticator (betaal terminal)
* pincode = 1e factor...

wat is nu de tweede factor die onafhankkelijk is van telefoon en app en pincode?

Bij gebruik van een PC met website is:
* PC + browser + web app + username = autheticator (betaal terminal)
* password = 1e FACtor
* TAN/SMS/Telefoon+app = 2e factor.

Dan kan je nu dus een scanner kopen

KOPEN ?!

Nou ja de App, moet je met de zelfde pin code Authenticaten voor een betaling, als dat je inlogt op de app, dus dan heb je wel degelijk beide op 1 plek, en in theorie, met een (niet heel waarschijnlijke) login pin af vangen van de App heb je eigenlijk alles op 1 plek, al moet je wel de malafide betaling via de mobiel laten lopen (gezien ik aanneem dat je niet zo maar de App ergens anders kan installeren aan de hand van de App login pin, en je het eerst moet koppelen aan een rekening met een token van de website). Dus ja de kans is wel klein, maar niet onmogelijk. Maar een telefoon is toch lastiger te zien of er malafide zooi draait dan op een PC.
Dus ik blijf er bij, dat een SMS toch echt zo gek niet is, ja het is af te vangen, maar daar moet aardig wat moeite voor worden gedaan, en dan moet je ook al de login voor de website hebben. Het zelfde geld voor de App, maar mogelijk heb je daar nog veel meer impact mee omdat er mogelijk complete controle over de app.

En een SMS die ik ontvang op een Nokia 3310?

"Mijn PC draait Linux, is up to date en bovenal, ik heb inzicht in alles wat daarop draait."
Dat is m.i. een stevig staaltje hybris.
Het gaat helemaal niet om de code doorspitten en tot de laatste regel controleren/vertrouwen. Het is m.i. een geval van verantwoordelijkheid. Die moet je als doorsnee consument, maar ook als techie, zo klein mogelijk houden. Een up-to-date stock device (Android of iOS; who cares) met de app van de bank legt m.i. de kleinste verantwoordelijkheid bij de consument/eindgebruiker. Zodra een apparaat mij in staat stelt ROOT te zijn dan ga ik er niet op bankieren. Niet omdat ik geen code kan lezen of het niet begrijp maar omdat ik never nooit verantwoordelijkheid wil dragen. Niemand kent al die regels code en kan het op basis daarvan volledig vertrouwen. 'Dom' spelen is soms zo gek nog niet... Maar dat ben ik

Er is dus geen praktisch verschil: onafhankelijk van de oorzaak, de persoon wantrouwt de technologie en maakt er dus geen gebruik van.
In beide gevallen is de oplossing overigens: informatie verschaffen. Waarbij dan weer de idiote situatie kan ontstaan dat je de technofoob zodanige informatie geeft dat hij paranoïde wordt
De informatie voor de paranoide medemens zou kunnen bestaan uit een risico-analyse. Hoewel een eigenschap van paranoide mensen dan weer is dat ze die risico-analyse niet vertrouwen.
[zucht]