Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ING stelt uitfasering tan-code uit wegens coronavirus

ING stelt het uitfaseren van de tan-code uit wegens het coronavirus. De app en de scanner zouden de werking van de 2fa-codes overnemen, maar de bank rekent bij de overstap op veel vraag om hulp bij ING-vestigingen, wat nu niet mogelijk is.

Het vaarwel aan tan-codes is voor onbepaalde tijd uitgesteld, zegt ING. "Alles staat op zijn kop en dat geldt ook voor onze plannen." Oorspronkelijk was de bank van plan om eind deze maand de tan-codes buiten gebruik te stellen. Eventuele berichten die klanten daarover ontvangen hebben van de bank, kunnen ze dus ook als niet verzonden beschouwen.

Volgens ING is de tan-code inmiddels zo'n 32 jaar oud. De codes zijn een reeks tekens waaraan een volgnummer verbonden is. Bij een overboeking via internetbankieren geeft de bank een volgnummer op, waarna de klant de code moet invoeren. Tan-codes kan men op papier krijgen of per sms. Inmiddels zijn er twee alternatieven op tan-codes: de scanner, sinds 2019, en bevestigen in de ING-app, sinds 2017.

Door Mark Hendrikman

Nieuwsposter

22-03-2020 • 13:19

266 Linkedin

Reacties (266)

-12660262+1104+214+31Ongemodereerd111
Wijzig sortering
Dat het 32 jaar oud is, is niet bepaald een goede reden wat mij betreft. En zo'n app is ook te kraken. Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien. Dus ook in die van je bank.

Als je je TAN codes goed bewaart is er gewoon geen enkel probleem. Ik heb meer vertrouwen in een TAN lijst die in de kluis ligt, dan een app met mogelijke kwetsbaarheden en een OS dat niet goed afschermt, en 24/7 verbonden is met internet.

[Reactie gewijzigd door GekkePrutser op 22 maart 2020 13:54]

Ik ben dus niet de enige paranoïde ITer, mijn e.dentifier is ook nog nooit aan de USB gehangen.

Het issue met TAN codes is dat het effectief een wachtwoord op een briefje is wat je in een lade thuis legt. Of als je het via SMS binnenkrijgt het net zo makkelijk is te onderscheppen als via een gehackte Android phone, alleen hoef je nu geen toegang te verschaffen tot de smartphone en werkt het bij elke telefoon...
Wat ik me altijd afvraag met zulke dingen.
Hoe vaak is dit in de praktijk nu misgegaan (bij jou). En is de bank niet gewoon aansprakelijk als de app lek blijkt?
Ik gebruik al jaren de app. 100en, zo niet 1000en betalingen ontvangen en gedaan... Denk er gewoon echt niet over na, is nog nooit fout gegaan.
TAN codes, zeker op papier, lijken me echt het minst veilig van alle opties.
Maar misschien hebben jullie er dus slechte ervaring mee, of kennen jullie cases waar dit is misbruikt?
Nee, de bank heeft juridisch alles afgedekt. In de praktijk hanteert men een zekere coulance, als gevolg van de aandacht die het heeft van consumentenorganisaties. Als de mensen hun vertrouwen in de bank verliezen heeft de bank een probleem, dat blijven ze liever voor.

En wat die app betreft, zoals ik boven ook al schreef:
1) Systeemopslag vol, kan niet meer updaten - iedere software heeft gaten
2) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.
Die app is dus echt heel veilig
Geen idee hoor, maar mijn kind heeft niet mijn telefoon bij zich, zeker niet als ie buiten de deur is. En stel dat dat zou gebeuren... De app heeft een pincode en vingerafdruk of dubbele pincode nodig om ook maar iets te kunnen doen in de bank app. Je geeft toch ook niet dat papier met tan codes mee aan je kind.
De app werkt simpelweg niet op een niet ondersteund toestel of niet ondersteunde versie/ software.
En dat vertrouwen in de bank is dus precies wat ik aangeeft. Zodra mensen geld kwijtraken, of de bank niet thuisgeeft, is die klant weg, en zal niemand die app nog gebruiken. Gaat niet gebeuren dus. Althans, ik maak me er (nog) totaal niet druk om.

[Reactie gewijzigd door GeeEs op 23 maart 2020 11:01]

Geen idee hoor, maar mijn kind heeft niet mijn telefoon bij zich, zeker niet als ie buiten de deur is.
Met zijn drieën, vieren, vijven op de bank ... of bij droog weer in de voortuin, met nog twee kinderen er met de step omheen en twee met een fiets.
De app heeft een pincode en vingerafdruk of dubbele pincode nodig om ook maar iets te kunnen doen in de bank app.
klopt.
Je geeft toch ook niet dat papier met tan codes mee aan je kind.
Nee, die niet nee, en die willen ze ook niet.
De app werkt simpelweg niet op een niet ondersteund toestel of niet ondersteunde versie/ software.
Nee, op telefoons met Windows 10 of BBOS 10 doen die het niet meer, op Android 2,0 waarschijnlijk nog wel.
En dat vertrouwen in de bank is dus precies wat ik aangeeft.
Jij aangeeft?
Zodra mensen geld kwijtraken, of de bank niet thuisgeeft, is die klant weg, en zal niemand die app nog gebruiken.
Dat mensen geld kwijtraken gebeurt duizenden keren per jaar
In 2018 bedroeg de schade door fraude met betaalpassen 4,9 miljoen euro.

Mensen zijn in Nederland zo goed als verplicht een bankrekening te hebben want als werkgever mag je iemand niet cash uitbetalen. Ook om een uitkering te ontvangen moet je een bankrekening hebben. Als je in een huurhuis woont moet je die per bank betalen en ook je zorgverzekering kun je alleen per bank betalen. En de AMRO, RABO, ING, BUNQ en Volksbank (o.a. SNS, ASN en Regiobank), Triodos en andere banken gebruiken dezelfde systemen, iDeal, codekastje om de bankpas uit te lezen (bv AMRO eDentifier) of codekastje dat aan je bankpas is gekoppeld (ING scanner) en een mobiele app.

https://www.businessinsid...elf-voor-opdraait-412369/
Gaat niet gebeuren dus. Althans, ik maak me er (nog) totaal niet druk om.
Wat niet gaat gebeuren is dat de mensen massaal weglopen. De banken zijn allemaal hetzelfde dus of je nu door de kat of door de hond gebeten wordt, maakt niet uit, gebeten wordt je toch wel.
Wat betreft ondersteuning: de ING App werkt op Android 5 en hoger, dus versie 2 werkt echt niet meer.

Niet heel recent, de Android versie, maar ook niet meer uit het begin tijd.
Sorry, nu ben je echt spijkers op laag water aan het zoeken... Ik heb m'n mening gegeven, daar hou ik het voor nu even bij.
Als jij je telefoon deelt met je (buurt)kids, zegt dat meer over jou, dan over de veiligheid van de app, maar dat snap je vast zelf ook wel.
Die extra t was een typo. Sorry.
Je vertrouwen in de banken, overheden en systemen is wel heel erg groot, of heb je aandelen.
Ik draai hem om voor je. Jou wantrouwen is erg groot, vertel ons je verhaal wanneer en hoe dit mis ging, en vertel hoe de overheid en de bank jou te grazen namen.
Mijn vertrouwen is redelijk groot in de instanties, ze hebben mij werkelijk nog nooit genaaid. Ook ken ik niemand hier of in m'n omgeving die dat weerlegt.
Nee, geen aandelen.
in principe is de bank niet aansprakelijk tenzij jij het kan aantonen dat zij iets fout hebben gedaan (dat kun je niet want geen toegang tot logs van Bank). Maar de banken strijken de hand over hun hart en betalen je terug.
Ja, zoiets had ik ook wel eens begrepen.
Prima dus. Ik snap echt niet dat je nog zou hanessen met TAN codes, laat staan vooruitgeprint op papier.
Sterker nog, daarvan kan een bank altijd zeggen dat jij die niet goed hebt opgeborgen. Risico klant dus.
Bij de app kunnen ze er gewoon niet onderuit. Zij faciliteren die ook.
En is de bank niet gewoon aansprakelijk als de app lek blijkt?
Je bedoelt zoals Microsoft aansprakelijk is als er een lek in Windows misbruikt wordt?
Als het "goed" is, heb je de aansprakelijkheid voor de bank weggeklikt bij acceptatie van de gebruiksvoorwaarden.
Nee, dat bedoel ik niet. Een heel OS is wat mij betreft ook iets compleet anders dan een dedicated app om te bankieren, die de bank ook nog zelf faciliteert. Het zou inderdaad dus kunnen dat de bank juridisch niet aansprakelijk is zoals iemand al reageerde. En ja, ik ben er mee akkoord gegaan. Echter, zodra dit dus zou misgaan en de bank mij niet compenseert, zijn ze mij kwijt. En met mij denk ik iedereen die dat zou overkomen.

Ik heb begrepen dat (in mijn geval) ING dus adviseert de app te gebruiken, omdat deze (veel) veiliger zou zijn dan telebankieren via de browser.
Daarnaast heb ik dus nog nooit persoonlijk meegemaakt dat er iets misgaat. Ook heb ik dat nog nooit gehoord van anderen, of ergens gelezen dat dit iemand overkwam.
Maar nogmaals, ik mis waarschijnlijk ook gewoon 99,9 van het nieuws, dus het zou zomaar kunnen dat dit wel zo is.
Voor de bank is het juist veel makkelijker de verantwoordelijkheid af te schuiven naar de klant als ze hun klanten zelf die vooraf gegenereerde TAN codes laten bewaren. Ik zou daar als bank nooit verantwoordelijk voor willen zijn.
Het is geen wachtwoord op een briefje, het is een codeboek zoals spionnen gebruiken. Die doen dat ook al honderden jaren zo.

Het punt met het onderscheppen van een TAN-SMS, is dat je er pas wat aan hebt als je zowel de computer binnen kan als de telefoonverbinding kunt onderscheppen. Bovendien moet je niet alleen de TAN lezen, maar ook een gewijzigde SMS doorsturen. Het vergt dus nog best iets meer moeite dan alleen een app op een smartphone kraken.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 15:19]

Heb je niet nog meer nodig? Inlognaam en wachtwoord?
Die heb je als je de computer compromitteert. Je moet dus echt zowel de computer als de telefoon kraken als je met TAN-SMS wilt rotzooien.
je zoekt het wel heeeeel ver.

zo iets gebeurd zelden
Daar was toch een specifiek stuk malware voor?
Klopt, het gebeurt zelden en is dus gewoon veilig(er dan de app). Dat was mijn punt.
Als de gehackte computer ingelogd was op het Google account kon je via https://play.google.com/ apps installeren op de telefoon. Ik geloof dat het tegenwoordig beter beveiligd is, maar je kan natuurlijk een malafide app die smsjes leest submitten in de play store (google checked nauwelijks) en die laten downloaden op de telefoon. Er moet dan nog wel iets gebeuren waardoor de gebruiker die app toegang geeft tot het lezen van sms. In eerdere versies van android accepteerde je de permissies bij het downloaden.

[Reactie gewijzigd door Leejjon op 23 maart 2020 08:53]

Een wachtwoord op een briefje? Lolwut? Je hebt helemaal niks aan die tancodes zolang je niet ook de inlognaam en het wachtwoord hebt, dus je vergelijking is een beetje mank.
ALs het zo doorgaat zijn de euro's geen knikker meer waard.
Het 'voordeel' van de situatie is dat het globale situatie is waar de EURO er beter uitkomt dan de pond, dollar en renminbi... Dat zal uiteindelijk meer gevolgen hebben die een negatieve impact voor Europa kan hebben, maar het is nu allemaal koffiedik kijken. Nu conclusies trekken is vragen om problemen...
Het is een extra manier of je bank account te kraken, juist afgaan van een extra manier kan beter zijn voor de beveiling. Veel ouderen bewaren hun TAN-codes niet goed. De gebruiker is altijd nogsteeds de zwakke schakel en door het uitfaseren van 1 manieren sluit je een mogelijke toegangsdeur tot je gebouw.
TAN-codes zijn geen extra manier om je bank account te kraken. Het is niet alsof je met het hebben van de TAN-codes op papier plotseling het account in kan. Zowel op papier als via een omweg verkregen extra gegevens die je nodig hebt zijn een aanvulling op de beveiliging. Aanvullingen die ieder hun eigen voor- en nadelen hebben. Dat klanten hun TAN-codes op papier niet goed bewaren verzwakt de beveiliging, en dat gaat net zo goed op voor het slorig omgaan met toegang tot een app of een scanner. De TAN-codes zijn niet perse minder veilig omdat ze op papier staan en de andere middelen digitaal zijn.
Veel ouderen bewaren hun TAN-codes niet goed. De gebruiker is altijd nogsteeds de zwakke schakel en door het uitfaseren van 1 manieren sluit je een mogelijke toegangsdeur tot je gebouw.
Om een papieren lijst te stelen zal iemand fysiek moeten inbreken, via internet lukt het niet. Ik heb er meer vertrouwen in dan dat mensen veilig omgaan met hun telefoon.
Via bijvoorbeeld phishing is het heel goed mogelijk om papieren TAN-codes in bezit te krijgen. In het verleden genoeg van die mails gehad: 'log in en vul de eerstvolgende drie TAN-codes in'. Zoiets.
Via bijvoorbeeld phishing is het heel goed mogelijk om papieren TAN-codes in bezit te krijgen. In het verleden genoeg van die mails gehad: 'log in en vul de eerstvolgende drie TAN-codes in'. Zoiets.
Dat klopt maar daarvoor maakt het niet uit of de codes op papier staan of niet. Deze mail zou overigens niet werken met het systeem van ING want die codes worden niet op volgorde uitgegeven. Er zijn geen "eerstvolgende drie codes". Je kan de gebruiker wel om drie codes vragen, maar je weet niet welke code de bank gaat vragen. Als je veel geduld hebt en voldoende codes hebt losgepeutert zal je vroeg of laat geluk hebben en een van die codes kunnen gebruiken. Dan kun je eenmalig 1 betaling goedkeuren. Dat blijft een overzichtelijk klein risico. Waterdicht is het niet, maar dat is het nooit, het gaat allemaal om kansen, verhoudingen en risico's.

[Reactie gewijzigd door CAPSLOCK2000 op 23 maart 2020 14:07]

Dat met de volgorde van die codes is dan veranderd. In de tijd dat ik nog een TAN-lijst had, ging het gewoon op volgorde. Dus waren de opeenvolgende codes voorspelbaar. Maar toegegeven, dat is al lang geleden.
Sommige stoppen dat soort dingen in hun portemonee ..
Zolang ze niet ook hun wachtwoord daar bewaren blijft het risico vrij klein, met alleen die codes kun je niks. Ideaal is het uiteraard niet.
Dat is van de bank uit geredeneerd. Maar @GekkePrutser heeft er ongetwijfeld goed over nagedacht hoe zijn tan-lijst uit de handen van onbevoegden te houden. Daarvan uitgaand brengt, uit zijn gezichtspunt, een app op een telefoon grotere risico's met zich mee.
Maar @GekkePrutser heeft er ongetwijfeld goed over nagedacht hoe zijn tan-lijst uit de handen van onbevoegden te houden. Daarvan uitgaand brengt, uit zijn gezichtspunt, een app op een telefoon grotere risico's met zich mee.
ALS je al een telefoon hebt.. ik niet. Papieren TAN-codes werken al jaren goed (sinds Girotel al.)
En zoals gezegd, mensen zonder telefoon kunnen een scannertje aanvragen en voortaan gaan gebruiken.
En wat is het percentage rekeninghouders zonder telefoon denk je?
Ik heb bewust de app van ING verwijderd.
Ik wil zien welke incasso's er gaan komen. In de app moet ik dan verplicht toestaan dat ING mijn data voor analyse doeleinden gebruikt.

Dat is verplicht privacy in. Dat staat mij niet aan.

Ook heb ik echt bij lange na geen miljoen, maar toch veranderen ze eenzijdig dat als je een miljoen hebt een 'spaarrekening' negatieve rente mag rekenen. Het verbaast mij dat de Financiële autoriteit niet ingrijpt. Dat is immers geen sparen meer, zelf opnemen en in een kluis stoppen geeft dan meer 'rendement'.
Denk je eens in dat je met pensioen gaat, dan wil je geen risico's meer lopen met je geld, dus spaarrekening. Gaan ze er los van de inflatie en rekening kosten ook nog rente voor vragen als je geld bij ze onderbrengt. Lijkt me zwaar indruisen tegen de bank eet; handelen in belang van de klant. Dit is gewoon; we hebben paar ton nodig, waar halen we dat makkelijk zonder veel weerstand, ja je mag switchen naar een andere bank, na decennia klant te zijn geweest. Zo vriendelijk. En geen garantie dat de andere banken een paar maanden later niet mee gaan doen. Gewoon omdat het kan, want niet terug gefloten door de waakhond.


Nu moet ik dus verplicht een kastje mee als ik geld over wil maken naar mijn rekening om mijn boodschappen te betalen óf verplicht hun app installeren én verplicht akkoord gaan dat ze mijn data mogen gebruiken voor data analyse.

Waakhond wordt wakker. Die Gan analyses zijn niet anoniem. De machine trained (learned) modellen bevatten persoonlikje informatie.

De privacy en de financiële rechten worden met voeten getreden, waakhonden sta op!

[Reactie gewijzigd door djwice op 22 maart 2020 20:34]

Ik weet niet aan welke financiële autoriteit je precies denkt, maar banken mogen op dit moment gewoon een negatieve rente rekenen, dus geen autoriteit kan daarop optreden.

Het probleem wordt bewust veroorzaakt door de Europese Centrale Bank. Die vindt het nodig nog steeds de rente idioot laag te houden. Dat en andere ‘maatregelen’ deden ze eerst met als excuus de financiële crisis, maar ook nu die al jaren voorbij is, blijven ze het maar volhouden.

Nu er weer een economische domper dreigt, hebben ze in feite geen kruit meer te verschieten want de ‘vorige’ maatregelen zijn nooit opgeheven.

De zwakke euro-landen zijn nog steeds zwak en hebben dan ook meteen weer al steun gekregen. Komt alles bij elkaar niet serieus over die ECB.
Ik heb bewust de app van ING verwijderd.
Ik wil zien welke incasso's er gaan komen. In de app moet ik dan verplicht toestaan dat ING mijn data voor analyse doeleinden gebruikt.
Dan gebruik je daarvoor de webbrowser, bij voorkeur op een desktop-scherm. Dan kun je nog steeds die app gebruiken voor andere dingetjes.
... Dat is immers geen sparen meer, zelf opnemen en in een kluis stoppen geeft dan meer 'rendement'.
Houd er wel rekening mee dat je van iedere cashopname de bonnetjes bewaart. Als men je aanhoud met 'teveel' cash op zak moet je de herkomst aan kunnen tonen. Kun je dat -in hun ogen- onvoldoende, dan neemt men het af want dan wordt het aangemerkt als afkomstig uit het criminele circuit en wordt je witwassen van zwart geld ten laste gelegd.

Verder ben ik het volkomen met je betoog eens.
Onzin, je kunt middels je bankafschriften gewoon laten zien dat je contant hebt opgenomen.
Als er een goede reden is zal de rechter vast wel een bevel tot inzage willen geven, is mij en mijn kennissen nog nooit overkomen.
Verder is het bezitten van contant geld op zich helemaal niet illegaal dus voor dat aan houden moet een goede andere reden zijn.
Ik betaal (bijna) alles cash (nu iets minder vanwege corona), en nee ik heb geen smartphone.
Onzin, ...
Geen onzin. Regelmatig komt er op het nieuws voorbij dat men weer iemand op Schiphol heeft aangehouden die grote hoeveelheden cash bij zich had.
je kunt middels je bankafschriften gewoon laten zien dat je contant hebt opgenomen.
klopt, maar dan moet je die dus wel kunnen laten zien. Ik noemde net Schiphol maar ook elders in het land kunnen ze je aanhouden. Verdenking is genoeg. Wel is het zo dat heel veel landen grenzen stellen aan het bedrag dat je mag in- of uitvoeren ongeacht dat je de herkomst aan kunt tonen. Dat bedoel ik dus niet.
Als er een goede reden is zal de rechter vast wel een bevel tot inzage willen geven, is mij en mijn kennissen nog nooit overkomen.
Die rechter komt er in dat geval helemaal niet aan te pas, wel uiteraard later in het strafproces, maar dan is je geld dus al verbeurd verklaard, zo i dat wetje opgesteld. In dat geval wordt je dus niet veroordeeld voor witwassen. Overigens lopen de Belgische en Nederlandse wetgeving hier niet parallel.
Daarnaast is er ook nog de gebruikelijke transacties-regeling. Als jij - als vermogende burger - kunt aantonen altijd met veel geld op zak te lopen, dan mag het in bepaalde gevallen wel. Een bekend voorbeeld is de veemarkt, waar zaken nog steeds vrijwel uitsluitend cash afgehandeld worden, iets dat de Nederlandse overheid wil beëindigen.
Verder is het bezitten van contant geld op zich helemaal niet illegaal dus voor dat aan houden moet een goede andere reden zijn.
Je moet dus kunnen aantonen dat dit geld
- ofwel een bepaalde legale bestemming had
- ofwel bij je normale gebruikspatroon hoort
- én je moet de herkomst kunnen aantonen, ofwel met een briefje van de geldautomaat, ofwel met een bankafschrift.
Ik betaal (bijna) alles cash (nu iets minder vanwege corona), en nee ik heb geen smartphone.
Hypotheek, huis- of garagehuur, zorgverzekering, er zijn heel veel zaken die je niet meer cash kunt betalen, ook steeds meer supermarkten hebben kassa's waar je alleen met bankpas kunt betalen.

Overigens top dat je dat doet, ik zou dat ook vaker moeten doen, en knap dat je zonder smartphone kunt, ik vind die toch wel handig, maar vooral om overal internet te kunnen raadplegen.
Je hebt het nu over verdachten die niet kunnen aantonen hoe ze aan het geld kwamen of duidelijk met belastingontduiking bezig zijn. Een ton in contanten of een auto van een ton maar nog nooit gewerkt bijvoorbeeld.
In geval van een normale burger die een paar duizend euro in de kluis heeft voor noodgevallen zal een diender niet wegkomen met een ongefundeerde inbeslagname.
Volgens mij hebben we het over verschillende zaken.
Je hebt het nu over verdachten die niet kunnen aantonen hoe ze aan het geld kwamen of duidelijk met belastingontduiking bezig zijn.
Nee, iedereen en altijd. Zoals gezegd heb ik het niet over limieten die bepaalde landen stellen aan contant geld, goud of sieraden dat je de grens over mag nemen. Ik he het over Nederland en België, gewoon op straat.

Om te beginnen, de Wet ter voorkoming van witwassen en financieren van terrorisme, kortweg, Wwft welke is aangenomen op 15 juli 2008, waarvoor de bedragen op 25-07-2018 zijn verlaagd en zo te zien op 1-1-2020 nog stilletjes is aangescherpt. Deze stelt dat financiële instellingen verdachte transacties moeten melden. Wanneer iets een ongebruikelijke transactie is kun je o.a. hier lezen. Voor sommige transacties staat er €10.000, voor sommige €20.000 maar let op: [b]Maar soms moet u – ongeacht het bedrag van de transactie – een melding doen. b[/i].

In https://financieel.infonu...ikelijke-transacties.html lees je dat de volgende maatregelen zijn aangekondigd:
Witwassen vanaf 3.000 euro, plan van aanpak witwassen 2020 en 2021
Op 1 juli 2019 presenteerde het kabinet een plan van aanpak witwassen, enkele punten uit dit plan zijn:
Regulering van crypto-aanbieders vanaf het jaar 2020 (bitcoins en altcoins).
Er komt vanaf 2020 meer transparantie over juridische entiteiten en constructies, denk hierbij aan de UBO-registers.
Er komt vanaf 2021 een verbod op contant geld vanaf €3.000 euro voor handelaren.
Er komt vanaf 2021 een aanscherping van het wettelijk kader BES-eilanden.
Het kabinet wil Europees inzetten op afschaffing van het 500 euro biljet.

Let op de regel die ik vet heb gemaakt: voor handelaren, dat zijn mensen die mogelijk meerdere keren per dag een transactie uitvoeren. Als zij niet meer dan 3000 in bezit mogen hebben, dan betekent dat in de praktijk dat je dus dat het bedrag waarmee je kunt betalen nog fors lager zal liggen. Die handelaar zal jouw contante betaling niet kunnen accepteren als ik net bij hem contant heb afgerekend.

Deze trend is ook al langer ingezet.
1.) Belgisch berichtje uit 2005 Als u al jaren elke maandag het geld stort van het voorbije weekend, zal niemand u nu plots vragen beginnen te stellen, ook als dit een bedrag is ver boven de € 10 000. ... Er zullen wel vragen komen als u plotseling met € 30 000 of € 40 000 bij uw bank komt zonder een “verhaal”, zeker als het om een privérekening gaat. Lees ook het stukje over de cashteller.

2.) Berichtje van 2009 Bankopnamen en storingen boven een bepaald bedrag zijn per definitie verdacht.
Het op zak hebben van meer dan 2500 euro kan nu gestraft worden met voorlopige inbeslagneming tot men aangetoond heeft, waar het geld vandaan komt. Ook de grens over met €10.000 mag niet meer zonder eerst aangifte te doen.

3.) Berichtje uit 2014 toen lag het bedrag voor stortingen nog op €15.000, inmiddels is het €10.000

4.) Berichtje 2015 De beweging naar een maatschappij zonder cash-geld, gaat natuurlijk niet over één nacht ijs.. In plaats daarvan worden aan de randen van het cash-geldgebruik, langzaam, heel langzaam en systematisch, een serie opvolgende stappen genomen. Over de hele planeet, let wel, leggen overheden beperkingen op, aan het gebruik van cash geld. ......het is natuurlijk veel simpeler om andere vormen van betaling te traceren voor overheden, en daarom gaat de voorkeur van overheden hier heen ... ... ...maar we naderen heel snel een punt, waar het gebruik van cash geld wordt beschouwd als een ‘verdachte activiteit’, alleen al door het geld bij je te dragen.. Je gaat toch pinnen.. Wat moet jij met zoveel cash in je portemonnee..? ... Je wordt onbewust al getraind om grote sommen cash geld als ‘vreemd’ te bekijken.
en in het buitenland: Vanaf a.s. september zullen in Frankrijk transacties van € 1000 in cash worden verboden. ... Op dit moment heeft Spanje alle transacties van hoger dan € 2.500 in de ban gedaan en Italië zelfs alle transacties boven de € 1.000 Zelfs in de VS, waar het geld niet eens van de burgers meer is, sinds de invoering van het FED-stelsel begin jaren 1920, worden niet zulke strenge restricties gesteld aan de roulatie van cash geld. Maar in de VS gelden wel erg strikte rapportage-eisen door ontvangers van cash geld. Bijvoorbeeld: als je regelmatig grote sommen geld op een bankrekening zet, maak je grote kans dat je in de ‘doelgroep’ valt van mensen die gerapporteerd moeten worden, in verband met ‘verdachte activiteiten’.. En in 2013 waren dat er naar schatting zo’n 1,6 miljoen van deze rapportage aan de federale overheid. ... Wat misschien nog wel het meest verontrustend is, is dat er MINIMALE AANTALLEN ‘verdachte gevallen’ zijn, die een bank dient aan te geven.

5.) Brichtje 6 november 2018VVD wil maximum van €500 voor contante betaling [/url] In heel Europa zien we een ontmoedigingsbeleid voor contant geld, in het bijzonder waar het gaat om grotere bedragen. In Spanje geldt al een limiet van €1.000 voor contante betalingen, terwijl je in Italië maximaal €1.000 per dag aan contant geld kunt opnemen bij de bank.

6.) Berichtje uit 2016 Verhaal van iemand die zijn auto particulier verkoopt en niet mag storten.

7) Bericht 2018

8.) Volkskrant 1 juli 2019Vandaar dat minister Hoekstra eerder dit jaar in Washington zelfs zinspeelde op een cashverbod vanaf 1.000 euro.

9.) RTL-nieuws 2 december 2018et kabinet wil de strijd met zwart geld harder aangaan en wil daarom een verbod op contante betalingen van meer dan 3000 euro. Vandaag komt het kabinet met het wetsvoorstel.

10) AD 1 juli 2019

11) 27-9-2019 RTLZ
Wie 'een beetje' contant geld in huis heeft, hoeft daar inderdaad niet voor te betalen. Je hoeft het niet eens op te geven aan de Belastingdienst: er geldt een vrijstelling van 534 euro voor contant geld, of 1.068 euro als je een fiscaal partner hebt. Als je meer cash hebt, moet je dat opgeven.

12) [url=https://www.bd.nl/oss-e-o/jongen-14-aangehouden-op-school-in-oss-peperdure-spullen-in-beslag-genomen~a03c367f/?fbclid=IwAR0a6UBJSTP2j5pMnH5U0JQXWFjtGZlasPryEf330wJRV-bpM05KLG5CpSM[/url] Berichtje 21-11-2019 [/url] Dit gaat wel, zoals je zegt over iemand die "geen goede verklaring" had over hoe hij eraan gekomen was. Het gaat hier echter wel om een geldbedrag van €900, een iphone, setje airpods en een iwatch.

13) Bericht 20-02-2020 achter betaalbuur maar je kunt nog steeds lezen dat de politie het verdacht vond dat iemand € 2750 op zak had. De verdachte is wel vrijgesproken van witwassen omdat hij het voor zijn verjaardag had gekregen, de aanhouding had plaats gevonden op die dag.

Op zoek naar de uitspraak, die ik niet vond, kwam ik wel de volgende tegen
14) Uitspraak hoge raad Verdachte was veroordeeld voor witwassen van een bedrag van €650 (hij had € 662,56 op zak).

De uitspraak van de hoge raad heeft die veroordeling gedeeltelijk vernietigd omdat het hof en het OM de uitspraken van de verdachte over de legale herkomst (verkoop van een playstation, gepind en gewonnen in het casino) [niet hadden gecontroleerd terwijl men dat wel had kunnen doen. Het hof had gesteld dat
"Louter het voorhanden hebben van dat geld levert al een vermoeden van eenvoudig witwassen op." en daar was de hoge raad het,na overlegen van een transactieoverschrift van de bankrekening, dus niet mee eens.

Verder nog wat ongedateerde websites
1.) Belgische bank Hoeveel contant geld mag ik ontvangen? Je mag van je klant maximaal 3.000 euro ontvangen in cash, ongeacht de grootte van het factuurbedrag. ...
Lonen: lonen moeten verplicht per overschrijving worden betaald. Een werknemer contant betalen is niet toegestaan.

2.) Overheidssite Vlaanderen (België) Tot welk bedrag mag u een factuur cash betalen?
In geval van een normale burger die een paar duizend euro in de kluis heeft voor noodgevallen zal een diender niet wegkomen met een ongefundeerde inbeslagname.
Jawel, zeker als het zoveel is, hierboven werd al een bedrag genoemd van €650, in mijn ogen klein grut. Nu zal je niet iedere cent moeten verantwoorden, hierboven heeft men €12,56 naar beneden afgerond, maar je zal toch voor een aanzienlijk deel moeten kunnen verantwoorden waar het vandaan komt.

[Reactie gewijzigd door BeosBeing op 25 maart 2020 12:31]

iedereen die zo een app niet op z'n telefoon wil hebben, zoals ik.
Ik ken geen volwassen 70- persoon die geen smartphone heeft.
Ben het niet met U eens!

Tan is een extra beveiliging.
gekoppeld aan de mobiel....werkt perfect.

dat zij {de bank } ermee stoppen...ben ik niet blij mee.
die app is ook ruk. waarom......als juow mobiel geen beveiligging update's meer krijgt hoe veilig is het dan?

moet ik dan elke 2j nieuw mobiel kopen? of dure apple ? Een code via SMS werkt goed.

[Reactie gewijzigd door noway op 23 maart 2020 02:41]

Geen idee waarom je de app ruk vindt, want de ING app is naar mijn mening echt goed.
1) Ouderen gebruiken een dumbphone die wel SMS kan ontvangen maar geen app heeft.
2) Systeemopslag vol, kan niet meer updaten.
3) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.

Echt veilig hoor.
1. Ik ken zat ouderen die gewoon een smartphone hebben en daarmee internetbankieren. Misschien bedoel je de 'oudere ouderen', maar ik zie zelfs 70 plussers die een bankieren-app gebruiken.
2. Is het niet zo dat je de app dan niet meer kan gebruiken?
3. Maar hoe log je dan in als 'buurtkind'? Je zult toch de pincode moeten weten of een vingerafdruk moeten hebben.

Duidelijk is ook wel, dat bankieren met een app gewoon here to stay is.

Natuurlijk hangt er veel van de gebruiker af, maar de ING-app is behoorlijk veilig, en inderdaad qua mogelijkheden en stabiliteit zeker goed.
2. Is het niet zo dat je de app dan niet meer kan gebruiken?
App draait gewoon hoor. Gmail stopt op een gegeven moment met geven van meldingen dat je nieuwe mail hebt en versturen van grote bestanden (foto's) gaat niet meer, browsers worden traag maar de verouderde app draait echt nog wel een paar jaar door.
3. Maar hoe log je dan in als 'buurtkind'? Je zult toch de pincode moeten weten of een vingerafdruk moeten hebben.
Daar gaat het niet om. Waar het om gaat is dat zo'n ding - in tegenstelling tot een tancode-lijst - niet veilig wordt opgeborgen. Die buurtkinderen hebben niet de intentie om zich toegang tot die bank-app te verschaffen. Maar op het moment dat zo'n telefoon rond gaat kan een kwaadwillende dat ook makkelijk doen. Vingerafdrukscanners zijn heel makkelijk te misleiden.
Duidelijk is ook wel, dat bankieren met een app gewoon here to stay is.
In de praktijk is het voor de meeste mensen veilig genoeg. Social engineering richt veel meer schade aan. https://www.rtlnieuws.nl/...icht-sms-bank-nep-bankpas
Vooral als oplichters zich richting financiële afdelingen voordoen als de CEO is de schade groot.
Ook mensen opbellen "namens de bank" en hen codes, wachtwoorden en gebruiksnamen af te laten geven komt blijkbaar veel voor.
Natuurlijk hangt er veel van de gebruiker af, maar de ING-app is behoorlijk veilig, en inderdaad qua mogelijkheden en stabiliteit zeker goed.
Ik mis nog steeds zaken die de desktop-browser wel heeft, maar ook die heeft een dumb-down meegemaakt.
Er zijn ook kinderen die samen de vinger van iemand vast grijpen en de ander de mobiel om te unlocken en dan weg rennen met de telefoon. Kinderen onder 10 jaar.
Inderdaad, dat kan ook, maar tenzij dat ze getraind zijn door een volwassene (zoals er ook kinderen getraind worden om te leren zakkenrollen) zal het ze enkel om de spelletjes te doen zijn, niet om de bankieren-app.
Maar waar het om gaat is, dat daar één van de twee belangrijke zwakke punten in de beveiliging licht. Dit soort 2FA is echt niet waterdicht, ook al gelooft een bepaalde groep mensen, waaronder ICT-ers er heilig in.

He andere zwakke punt is dus dat de toestellen vaak, zonder dat er aanleiding toe is, defect kunnen raken. Dat kan door software- of hardwarefouten zijn en ook gebeuren als de gebruiker het toestel altijd voorzichtig heeft gebruikt. Vanaf een bepaalde update crashte mijn Wileyfox Swift 2X spontaan. De makkelijkst reproduceerbare crash was als om de alarm-functie te gebruiken. Lag hij aan de lader en was 's ochtends om 7h, of 6:30 de accu 100% vol als het ingestelde alarm activeerde, dan was het wegdrukken van het alarm de trigger tot een crash met reboot en vervolgens nergens meer op reageren tot 's avonds laat de accu eindelijk leeg was. Het ding crashte ook in andere situaties, eveneens met een reboot en hang, dat was overigens al een vervangend exemplaar, de eerste deed ook van de ene op de andere dag niets meer en dat was binnen een paar weken na aanschaf. Een ander toestel werkte spontaan niet meer (waarna ik de Wileyfox kocht) en toen ik na vastlopen van de Wileyfox deze terug oppakte om eens te kijken of hij het nu wel deed ... bleek dat de accu zoveel speling had dat deze geen contact maakte. Kartonnetje ertussen en hij heeft het nog maanden gedaan.Uiteindelijk hield ook die er nogmaals van de ene op de andere dag mee op.
Als ik wil inloggen op mijning via de computer moet ik 3x !!!! mijn pincode intoetsen op de ing app op mijn telefoon.. hoe NIET gebruiksvriendelijk is dat?

Eerst om de app te openen om de goedkeuring te zien
Vervolgens om de goedkeuring te doen weer de code
En dan nog een keer om de app te kunnen openen.. :?

Dus nee. RUK

[Reactie gewijzigd door C6DL op 23 maart 2020 10:00]

Is ook niet zo veilig, omdat het niet zo duidelijk is waar je de PIN voor intoetst (behalve je eigen context).
Dit herken ik dus totaal niet. Is dat iets wat je kan aanzetten als extra protectie? 3 factor authorization oid? Heb ik nog nooit van gehoord. Maar dat zegt niks...
De mobiele app, bij eerste keer gebruik na installatie, moet je idd 1x autoriseren via een login op mijn ING.
Verder heb ik dit dus nog nooit meegemaakt.
Wat me wel opvalt is dat sommige mensen heel erg moeite hebben met hun passwords onthouden. Zonder haar te willen afvallen, mijn vrouw kan ook enorm rommelig zijn met invoeren en heeft echt altijd issues met inloggen. Maakt niet uit waar. De NAS, de mail, de bank... Elke keer gaat dat mis. En dan is dat natuurlijk nooit haar fout... Als ik het dan doen gaat het in 1x goed. Dat is vast toeval dan zeg ik altijd maar... ;)
moet ik dan elke 2j nieuw mobiel kopen? of dure apple ? Een code via SMS werkt goed.
Je hoeft zeker geen Apple-toestel te kopen, met een toestel dat draait op stock Android van een gedegen fabrikant kom je ook behoorlijk ver.
Ja want de laatste beveiligingsupdate die voor het toestel uit kwam was voordat het in China de container in ging op weg naar Europa, die reis duurt 5 weken. Daarna heeft het nog een half jaar in het magazijn van de groothandel gelegen en een maandje bij de detaillist in de schappen gelegen.
Een beetje fabrikant zorgt ervoor dat bij het installeren van het toestel gelijk gekeken wordt naar updates. Mijn S9 deed dat wel, toen ie gereed voor gebruik was.
Grofweg kun je de telefoonkopers indelen in twee groepen: mensen die inderdaad zoals jou een topmodel kopen, zoals de nieuwste Samsung S of iPhone en mensen die zo goedkoop mogelijk een basistoestel kopen, vaak met prepaid. Ook die laatste groep is behoorlijk groot en al die toestellen krijgen dus nooit een update.

Daar tussenin heb je dus inderdaad mensen die
- merken dat een basismodel niet meer voldoet en dus een stapje hoger gaan zoeken
- vinden dat de topmodellen qua prijs steeds verder de pan uit rijzen en een stapje terug doen.
Zo ontstaat inderdaad de langzaam groeiende middengroep. Verhoudingsgewijs is die groep echter klein.

Ik neem aan dat je nog geen ervaring hebt met een toestel van onder de €200 (mijn eerste was €199, veel meer als dat ik normaal uitgaf), laat staan van een model van minder dan €80 die je overal bij Kruidvat, Op=op, Blokker, tientallen andere ketens (waaronder vroeger kijkshop) en honderden andere winkels ziet voorbij komen en die ook de pagina's vullen van Wehkamp, Otto en soortgelijken.

Op iedere S9 worden er waarschijnlijk duizenden toestellen van rond de €80-€100 verkocht.
Juist wel. De grootste groep die tancodes gebruiken zijn ouderen en juist die hebben moeite met het "gewoon goed bewaren" van tancodes. Dit zijn mensen met eigen gewoontes, mensen in verzorgingstehuizen of minder scherp inlevingsvermogen wat in de huidige tijd veilig is.

Dat de app te hacken is, tjsa, alles kan, maar volgens meer een theoretisch risico dan reeel. Volgens mij bestaan deze apps al dik 10 jaar, heb je een voorbeeld van zo'n dergelijk hack waarmee de 2fa is gehacked?
Het probleem van het op afstand overnemen van 2fa is zeker niet theoretisch. Het is al heel oud en nog steeds actueel. Afgelopen week nog arrestatie door Europol waarbij de verdachten op deze manier meer dan 100 keer toesloegen. In de afgelopen jaren was het ook met regelmaat in het nieuws.
Dit klopt inderdaad voor SMS 2FA. Dit is helaas niet altijd veilig genoeg, en ING wil hier ook vanaf.

2FA via een app of scanner/reader is vooralsnog veilig volgens mij :)
Scanner slijt op de cijfers van de code net iets meer. Wil je onderweg bankzaken doen, zit ie naast je telefoon in de broekzak - onhandig dik, valt of 'rolt' er dus snel uit.

Ik zie niet zo snel waarom dat veiliger is?

[Reactie gewijzigd door djwice op 23 maart 2020 21:07]

Veilig is maar een term. Het is bijvoorbeeld afhankelijk van wat je als risico wil accepteren, welke risico's er zijn, welke risico's je wel of niet kan herkennen om rekening mee te houden. Omdat er verschillen zijn in de vorm en duur waarin je de gegevens krijgt, waarop ze bewaard worden, wie er toegang heeft, wie er controle heeft enz verschillen die risico's ook nog eens. Papieren TAN-codes, SMS 2FA, sanner/reader, app: verschillende risico's dus niet makkelijk te vergelijken of te zeggen onveilig of veilig. Of het veilig genoeg is hangt van heel veel factoren af.
Ja maar dat maakt het een stukje 'eigen verantwoordelijkheid'. Bovendien 'wat in de huidige tijd veilig is'? De beveiliging van een stukje papier is in de laatste jaren niet veranderd. En laten dit nou juist ook de mensen zijn die geen pincode op hun telefoon zetten ('want die zat ook niet op mijn huistelefoon'). Het veilig opbergen van dingen zijn juist zaken die oudere mensen wel begrijpen, omdat ze in tijden met minder veiligheid hebben geleefd.

Voor een TAN code moet je fysiek inbreken bij iemand. Dat is een behoorlijke barriere, en ook eentje die overduidelijk bewijs oplevert en bovendien gedekt wordt door de verzekering.

En MFA apps zijn ook gehackt. Die van onze banken niet, maar eens moet de eerste keer zijn.

[Reactie gewijzigd door GekkePrutser op 22 maart 2020 14:07]

Voor een TAN code moet je fysiek inbreken bij iemand. Dat is een behoorlijke barriere,
Het slachtoffer martelen is ook nog een dingetje ;) want dat A5-je met mijn codes is niet zo makkelijk gevonden, Terwijl ik zelf er rechtstreeks heen kan lopen.

En ja, het gehele vel met twee soorten codes is een A4, maar de PAC-codes heb ik niet nodig want ik doe de bankzaken alleen maar thuis.
Het veilig opbergen van dingen zijn juist zaken die oudere mensen wel begrijpen, omdat ze in tijden met minder veiligheid hebben geleefd.
Dit zijn ook dezelfde mensen die een briefje met hun pincode in hun portemonnee stoppen omdat ze hem anders vergeten. Ik heb mijn ouders ook flink moeten overtuigen voordat ze de stap naar een bankieren app waagden want ze wisten heel zeker "dat de computer veel veiliger is!". Ja, heel veilig als je wachtwoord op een briefje naast de computer ligt en je niet zeker weet of dat het groene slotje naast de URL nu wel of niet klopt. In tegenstelling tot de beveiligde verbinding van een bankieren app die alleen werkt als deze de juist beveiligde verbinding legt.
Je omschrijft precies wat bij mijn ouders het geval was. Mijn pa moest er even aan wennen, en nu zit hij pauwetrots met z'n nieuwe mobiel te telebankieren.
Vooral onderweg als hij reist ging er een wereld voor hem open. Vroeger kon hij dan niks doen qua bankzaken (voor z'n gevoel).
vervallen

[Reactie gewijzigd door Elefant op 22 maart 2020 15:48]

TAN-codes in een kluis? Vast heel veilig, maar totaal ongebruikersvriendelijk.
Daarnaast, hoeveel keren gaat het mis ten op zichtte van alle betalingen?
Mijn ouders denken daar totaal anders over. Een code overtypen van papier is erg eenvoudig, en de sleutel van de kluis heeft ook geen handleiding nodig.

Niet iedereen is een Tweaker.
Want een code op een schermpje overtypen is hogere wiskunde? Of je vingerafdruk scannen?
Misschien zonder mobiel onhandig, maar ik zou m'n moeder dan een mobiel geven denk ik.
Mocht dat niet meer gaan, zou ik de bankzaken voor haar doen vermoed ik, want dan is het sowieso niet handig dat ze daar mee bezig zou gaan.

[Reactie gewijzigd door GeeEs op 22 maart 2020 21:40]

Met een beetje geduld kan je een goed deel van de TAN codes loggen als je iets van malware op de PC kunt zetten daar dit een statische lijst is. Een code via SMS is in dat opzicht al veiliger omdat deze niet statisch hoeven te zijn.

En ja, een app is te kraken, maar daarom ook dat er een hoop controles ingebouwd worden om dat risico sterk te beperken. Perfecte veiligheid bestaat niet, maar goed bewaarde TAN codes veiliger noemen dan een app gaat wel te ver voor mij.
Met een beetje geduld kan je een goed deel van de TAN codes loggen als je iets van malware op de PC kunt zetten daar dit een statische lijst is.
Aan het loggen van de reeds gebruikte tan-codes heb je helemaal niets om de volgende tan-code te kunnen voorspellen. Hoe de codes zijn gegenereerd weet ik niet, maar het zal geen simpele pseudorandomreeks zijn.
Nee, maar ze zijn statisch, als je ze op papier hebt. Als je ze kan loggen ben je dus al het scherm aan het lezen. Dan is het eenvoudig om een lijst te beginnen opbouwen van code 1 = ######, code 2 = ######, enz...
Als je ze kan loggen ben je dus al het scherm aan het lezen. Dan is het eenvoudig om een lijst te beginnen opbouwen van code 1 = ######, code 2 = ######, enz...
Volgens mij snap je niet helemaal hoe een papieren tan-code-lijst werkt. Elke code wordt één keer opgevraagd en daarna nooit meer, en er zit geen enkel verband tussen de codes. Je hebt helemaal niks aan een log van gebruikte codes. De enige manieren om dat te kraken zijn
1) door de lijst te stelen/fotograferen, of
2) door de HTTPS-sessie te kapen.
Bij het laatste vorm ben je als gebruiker al zodanig de sjaak dat elke vorm van beveiliging aan diggelen is, dus als echt serieuze 'zwakheid' blijft alleen 1 over. En de kans dat dat misgaat is gewoon kleiner dan dat elke andere vorm van praktische huis-tuin-en-keukenbeveiliging mis gaat, zolang je die lijst gewoon thuis bewaart (wat dan ook meteen de reden is dat men het niet graag meer gebruikt tegenwoordig).

Als je een TAN-code via SMS veiliger noemen omdat dit 'niet statisch' is, is de boel omdraaien. SMS is gewoon aantoonbaar en praktisch stuk, papier heeft gewoon überhaupt geen digitale inbraakmogelijkheid.

[Reactie gewijzigd door bwerg op 22 maart 2020 14:56]

Bij het gebruiken van de app als 2fa kun je jezelf nog redden als je https sessie is gekraakt. Bij papieren tan is een gekraakte https sessie niet van echt te onderscheiden, bij de app zie je nog waar je toestemming voor geeft. Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben. Als je papieren tan gebruikt heb je dat niet door.
bij de app zie je nog waar je toestemming voor geeft. Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben. Als je papieren tan gebruikt heb je dat niet door.
Als de bank zegt dat ik 2000 euro ga overmaken zie ik dat toch ook ? De hacker moet meerdere dingen kraken. Zowel mijn sessie met de webshop als de sessie naar de iDeal en de betreffende bank. waarbij door alle partijen gemeld wordt om welk bedrag het gaat en waarvoor/ waarheen.
Dan pas zoek ik de gevraagde TAN-code op van mijn papiertje en vul m in.
Nee, want als ik jouw HTTPS-sessie heb gekraakt dan zie jij alleen een pagina dat het inloggen is mislukt, en dat je om te bevestigen dat je een persoon bent en geen hacker bij je volgende inlogpoging een TAN-code moet invullen. Onder water ben je natuurlijk gewoon ingelogd en heb ik een overschrijving van 2000 euro klaargezet naar mijn rekening.Bij jouw volgende "inlogpoging" vul je een TAN-code in en heb ik mijn 2000 euro.
Volgens mij hoefde ik bij een mislukte inlogpoging geen TAN-code in te vullen, doch gewoon opnieuw inloggen met naam en wachtwoord.
De TAN-code vul ik pas in als de bank mij dat vraagt, toch ? Dan ben ik al ingelogd.
Overigens slaat mijn voorbeeld op webshopwinkelen en niet zelf bij de ING inloggen en wat overschrijvingen doen.
Volgens mij hoefde ik bij een mislukte inlogpoging geen TAN-code in te vullen, doch gewoon opnieuw inloggen met naam en wachtwoord.
Klopt, maar we gaan hier uit van een situatie waarin ik ben ingebroken op je HTTPS-sessie en jou dus wat ik maar wil kan voorschotelen. Of je nu direct bij je bank probeert in te loggen of een iDeal-betaling probeert te doen maakt dan ook niet uit: Op het moment dat jij je bank hebt geselecteerd zorg ik ervoor dat je de loginpagina te zien krijgt die (ongeveer) overeenkomt met wat jij op dat moment verwacht, en de gegevens die jij daarbij invult gebruik ik onder water om direct in te loggen bij de ING. Ik maak tegelijkertijd (en dat gaat natuurlijk vliegensvlug, want ik heb het geautomatiseerd) een aantal overschrijvingen aan van de bedragen die op de verschillende rekeningen staan die aan de account zijn gekoppeld. Die overschrijvingen kunnen allemaal in één keer worden goedgekeurd, maar daarvoor heb ik de TAN nodig. Dus, terwijl jij dit op de achtergrond allemaal gebeurt is laat ik de loginpagina die jij verwachtte te zien nog eens zien met de melding "Uw wachtwoord en/of gebruikersnaam is onjuist. Om misbruik door derden te voorkomen vragen wij u om het opnieuw te proberen en uw inlog te verifiëren met de TAN-code met volgnummer XXXX"

Vanaf dit moment is er een groot verschil tussen iemand die gebruik maakt van de TAN-codes op papier, en iemand die de app gebruikt of SMS. In de laatste twee gevallen ziet de eigenaar van de rekening een klein overzicht en totaalbedrag van de actie die wordt uitgevoerd. Als je gebruik maakt van papieren TAN-codes krijg je niet zo'n overzicht.
Ah ja, daar heb je wel gelijk in. Maar bij TAN via SMS gaat dat ook gewoon fout. Dat heeft echt geen enkel voordeel ten opzichte van de andere methodes, alleen nadelen ('het is niet statisch' is geen voordeel - voor zover het überhaupt wat betekent).
Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben.
Maar als ik ook inderdaad 2000 euro wil overmaken, dan staat in het bevestigings-smsje alleen dat bedrag; het rekeningnummer waar het naartoe gaat wordt niet vermeld. Dus als iemand een man-in-the-middle aanval uitvoert, dan kunnen ze het rekeningnummer van de ontvanger aanpassen (maar het bedrag hetzelfde laten!) en dan heb ik niets door. TAN-via-sms zou veiliger kunnen zijn dan TAN-op-papier, maar met de huidige implementatie is dat maar gedeeltelijk zo. (En, met afschaffing voor de boeg, verwacht ik niet dat ze dat nu nog gaan verbeteren.)
TAN op papier is onveiliger dan het lijkt omdat het gevoelig is voor social engineering attacks, TAN over SMS is veiliger dan het lijkt omdat de aanvaller 2 devices moet kraken en aan elkaar matchen in plaats van 1.
Alle methodes zijn natuurlijk gevoelig voor social engineering, op het moment dat je het daar over hebt dan doet je technische beveiliging niet zoveel meer. Het voornaamste doel is dan om het proces niet te gestroomlijnd te maken in de hoop dat de gebruiker eerder doorheeft dat wat er aan de hand is toch niet zo slim is om aan mee te werken. Een goede social engineer "helpt" een klant daar nog steeds doorheen, en dan is de klant nog steeds de sjaak.
Het verschil waar ik op doel, is dat je bij papieren TAN's de volgende groep van 5 zo door het slachtoffer kunt laten oplezen, dat is een aantal jaar geleden ook echt zo gedaan door aanvallers, terwijl je bij SMS-TAN steeds 1 tegelijk krijgt. Papieren TAN is dus 'gestroomlijnder' voor social engineering.
Het verschil waar ik op doel, is dat je bij papieren TAN's de volgende groep van 5 zo door het slachtoffer kunt laten oplezen,
Werkt niet want je weet niet wat de volgende 5 gaan zijn, de TAN codes worden niet op volgorde gebruikt.
Oh, dat wist ik niet eens omdat ik nooit papieren TAN's gebruikt heb. SMS-TAN gaat wel met oplopende volgnummers.

Dan is papieren TAN dus nog een stuk veiliger dan ik dacht.
.

[Reactie gewijzigd door BlackOwl op 22 maart 2020 23:33]

Dan moet je wel een (bijna) oneindige lijst maken.
En "TAN 540" (die eens per 999 tancodes voorbijkomt) is dan een andere TAN-code.
En ja, er is een kans, met 'slechts' 1 miljoen TAN-codes dat je een keer raak schiet.
De hoofdprijs in de staatsloterij heeft een betere kans. ;)

Edit:
Bijvoorbeeld:
TAN 540 = 123456 en bij de volgende lijst is TAN 540 = 654321
Sta je dan met je gelogde tan-lijst. ;)

[Reactie gewijzigd door LooneyTunes op 22 maart 2020 14:34]

TAN 540 = 123456 en bij de volgende lijst is TAN 540 = 654321
Zelfs als 654321 nog eens wordt gebruikt in de toekomst zal dat niet TAN 540 zijn.
Hoe weet een kwaadwillende welke codes er nog op de lijst staan als hij die lijst niet heeft? Aan de reeds gebruikte codes heb je niets, want die worden niet hergebruikt. Als van de honderd codes op de lijst de meeste gebruikt zijn, krijg je alvast de volgende lijst opgestuurd met weer honderd helemaal nieuwe codes.
Hoe weet een kwaadwillende welke codes er nog op de lijst staan als hij die lijst niet heeft? Aan de reeds gebruikte codes heb je niets, want die worden niet hergebruikt.
De codes worden sowieso niet hergebruikt. Als ik mn lijst kwijt ben en een nieuwe aanvraag zijn dat andere codes dan degene die ik kwijtraakte.
Met een beetje geduld kan je een goed deel van de TAN codes loggen als je iets van malware op de PC kunt zetten daar dit een statische lijst is.
De lijst met 100 verschillende, eenmalig te gebruiken, codes is alles behalve statisch.
En als de lijst bijna "op" is, krijg (kreeg?) je een nieuwe lijst.
Het is enigszins te vergelijken met de rolling-codes van afstandsbedieningen.
Alleen de bank weet de (hash van de) code en jij de code van het papier.
Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien. Dus ook in die van je bank.
Kan je dit onderbouwen? Android apps draaien namelijk in hun eigen sandbox en zijn gescheiden d.m.v. SELinux. Apps kunnen niet de app data van een andere app uitlezen.

[Reactie gewijzigd door P1nGu1n op 22 maart 2020 14:03]

Ja, en hoe werkt een app als een filemanager dan op Android? ;) Kijk maar eens in Total Commander, je kan overal in neuzen.

Elke app die je toegang heeft om bijvoorbeeld plaatjes te delen, krijgt toegang tot het gehele bestandssysteem. Hierdoor zijn mensen enorm geneigd om dit altijd maar aan te zetten. Dit zijn ontzettend veel apps over het algemeen. Dus elke app die die permissie heeft, heeft mogelijkheid dit te doen. Een malware app hoeft dit maar te vragen met een vage reden en minstens 50% van de mensen zal dit klakkeloos geven.

Het probleem is niet de sandbox, het probleem is dat de permissies om deze te omzeilen veel te breed zijn (alles of niets). Dit zou in Android 10 gebeuren maar is uiteindelijk nog niet gedaan omdat er teveel problemen waren met apps die dit nodig hadden zoals filemanagers.

In Android 11 komt dit wel, maar vooralsnog is dit nog niet in het wild natuurlijk. En de komende jaren zullen er nog ontzettend veel mensen blijven met oudere versies.

[Reactie gewijzigd door GekkePrutser op 22 maart 2020 14:11]

Je ben hier in de war met het prive stuk wat elke app heeft (waar ze gevoelige informatie opslaan) en de gedeelte partitie (waar iedereen, met toestemming van de gebruiker, bij alles kan).

Anders gebruik even een 2FA app en laat mij zien hoe jij bij de lijst met sleutels kan die de 2FA codes genereren. Je claimt iets en levert geen bewijs.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 14:42]

Okee, ik ben geen Android dev maar ik had begrepen dat dit gewoon mogelijk was. Dingen als Total Commander laten me dit zien.

Maar ik wist niet dat er ook een prive stuk was. Als dat het geval is, had ik het inderdaad mis. Mijn excuses.

Persoonlijk heb ik al mijn bank apps in de "Secure folder" zitten, die helemaal afgeschermd is van de rest. Maar dit is alleen op Samsung telefoons beschikbaar.
Maar dit is alleen op Samsung telefoons beschikbaar.
Ook dat is niet waar. BlackBerry-telefoons met Android hebben diezelfde functie, en zo zijn er nog wel een paar merken die dat aanbieden.

[Reactie gewijzigd door TheVivaldi op 22 maart 2020 17:16]

Het gaat hier niet om files of file managers.
En zo'n app is ook te kraken. Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien.
Waar heb jij het nou over? Op een STANDAARD Android installatie hebben apps zijn eigen prive omgevingen in "/data/data/appID", waar geen andere apps bij kunnen, alleen de app zelf. Verder heb je **gedeelde** ruimte, wegens historische redenen, "/sdcard", daar kan, met toestemming van de gebruiker, iedereen bij (de gebruiker zelf, + apps waar toestemming voor is gegeven).

Je moet echt even stoppen met onzin en leugens verspreiden.

Verder kan je misschien ge-jailbreak-te Androids bedoelen, maar iPhones zijn ook te jailbreaken, dus daar is geen verschil.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 14:37]

Als mensen iets zeggen wat niet klopt hoef je ze niet meteen een leugenaar te noemen.
Butthurt dat ik niet politiek correct ben met "onjuiste informatie"? Het zijn gewoon leugens, PUNT. Zeker gezien de zekerheid waarmee de informatie over werd gebracht. Een leugenaar heb ik hier niemand genoemd, dus geen woorden in mijn mond stoppen. Dat de informatie zelf leugens zijn, daar sta ik 100% achter.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 21:56]

Sinds wanneer is beleefd zijn politiek correct?
En ja, als je zegt dat iemand leugens verspreidt, noem je die persoon impliciet een leugenaar.
Dan kan iemand er ook wat minder zeker over praten, bijvoorbeeld "voor zover mijn beleving is...", ja, dan is het onjuiste informatie / ongeïnformeerd (als dat een woord is) zijn. Er zijn bepaalde nuances die bepaalde reacties veroorzaken; hoe harder iemand iets beweerd, hoe harder de reacties zullen zijn als het feitelijk onjuist is.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 22:08]

De TAN LIJSTEN bestaan als heel lang niet meer. Het gaat nu om een vervanger daarvan, namelijk een code die je krijgt opgestuurd per SMS.

Prima systeem, je hebt een mobiel en je weet een wachtwoord. Is ook een 2FA.

edit:
ik werd gecorrigeerd dat tanlijsten nog wel degelijk bestaan

[Reactie gewijzigd door Puffino op 23 maart 2020 10:07]

Huh? Echt waar? Ik heb nog steeds een TAN lijst in gebruik... Ik gebruik mijn ING rekening heel weinig maar volgens mij werkt het nog.
De TAN LIJSTEN bestaan als heel lang niet meer.
Niet waar. Ik heb tot in februari dit jaar gebruikgemaakt van TAN-lijsten van ING.

Daarna de app geïnstalleerd. Valt mij 100% mee en is best handig in gebruik.
Minpunt is het gedoe met autorisatie wanneer ik de website op de computer wil gebruiken. Waar vroeger voor inloggen op mijning.nl (dus gewoon om te kijken) inlognaam en wachtwoord voldoende was, moet nu daarbovenop de app gebruikt worden. Veel extra handelingen (het lijkt wel of ING het gebruik van computers wil ontmoedigen). Eigenlijk kan je evengoed alleen de app gebruiken, maar ik vind dat telefoonschermpje niet fijn werken en ik geef de voorkeur aan een echt toetsenbord ipv zo'n mini-aanraakschermpje.
Briljant, dit was wel wat ik ooit voor mijn moeder moest regelen ;-)

Maar die heeft kennelijk het zelf niet goed begrepen.
Probleem zit hem niet in het bewaren van de TAN-codes maar in de hele keten van het principe. Die is niet veilig genoeg. De mobiele apps zijn op dit moment de veiligste methodes om te bankieren.
Probleem zit hem niet in het bewaren van de TAN-codes maar in de hele keten van het principe. Die is niet veilig genoeg. De mobiele apps zijn op dit moment de veiligste methodes om te bankieren.
En in de praktijk:
1) Telefoon plotseling defect, (OS-crash) doet niets meer. Dat is inderdaad heel veilig, de legitieme gebruiker kan niets meer.
2) Systeemopslag vol, kan niet meer updaten - iedere software heeft gaten
3) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.
Die apps zijn dus echt heel veilig
En met waterschade en met brand is je TAN-lijst vernietigd. Zo kun je voor alles wel nadelen verzinnen die in het dagelijkse leven voorkomen. Het gaat om moedwillige risico's in de keten.
Telefoon van de ene op de andere dag van prima werkend tot volledig onbruikbaar heb ik toch al diverse keren gehad. De eerste met een Galaxy Gio (gelukkig was ik al terug over op een qwerty-dumbphone), die had ik in 2012 nog.

De volgende modellen, een Acer Liquid 630Z en een Wileyfox Swift 2X hielden er allebei spontaan en binnen 1½ jaar mee op. Bij de Wileyfox lag de oorzaak in de steeds crashende software, bij de Acer in de waardeloze bouwkwaliteit, de batterij had zoveel speling dat bij heen-en-weer bewegen de accu contact verloor. Andere toestellen in ons gezin die er van de ene op de andere dag mee ophielden zijn een Wiko Jerry, een Wileyfox Spark+ en een Lumia 635. De Lumia was op dat moment net 2 weken vervangen door een nieuwe telefoon.

Telefoons die er onverwacht en onvoorspelbaar plotseling mee ophouden zijn een veel voorkomend verschijnsel.
Dat zijn lokale technische problemen. Daar hoeft een bank de veiligheid in haar processen niet voor te verzwakken. Als je TV kapot gaat hoeft je TV-provider ook niet te zorgen voor een vervangend toestel zodat je de diensten kan blijven gebruiken.
Je kunt prima een paar dagen zonder TV en als TV's inderdaad zo vaak kapot zouden gaan als smartphones zou niemand nog TV kijken en iedereen hun abonnement opzeggen. De smartphone is echter een multifunctioneel apparaat en banken bieden vrijwel allemaal een alternatief aan voor wie geen smartphone heeft. Er zijn zat mensen die nog steeds acceptgiro's op de post doen en papieren afschriften ontvangen.
Hier wordt gewoon een alternatief geboden voor als je geen smartphone hebt.
Toen de TAN-lijsten kwamen klaagde men dat dat lastig was en dat men gewoon met overschrijvingsformulieren wilde werken. Nu gaan de TAN-lijsten eruit en klaagt men dat men met TAN wil blijven werken. Dat zal je altijd houden. Je kunt niet alles blijven ondersteunen.
Dat is ook de reden waarom ik zelf voor de calculator ben gegaan.. Aangezien ik geen vertrouwen in een App heb.
Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien.
Heb je misschien een artikel waar ik meer kan lezen over dit "iets"? Ik vind het een nogal ongefundeerde uitspraak namelijk. Aangezien je daarna uit het niets begint over
mogelijke kwetsbaardeheden
en een
OS dat niet goed afschermt
.

Dus tot nu toe kom je over als een troll, dat kan wellicht veranderen door bronnen aan te leveren of je uitspraken te verhelderen met meer details.


Edit: N.V.T. ( ging over minnetjes en plusjes )

[Reactie gewijzigd door blackmilo op 23 maart 2020 01:33]

Nee, omdat je hem een troll noemt.
Ik noemde hem geen troll, alleen dat hij zo over kwam. Dat betekend nog niet dat hij er een is en dat het euvel op te lossen valt door een gedefiniërend antwoord op mijn vragen. Maar kijkende naar alle omgaande reacties in dit draadje en het antwoord wat er nog steeds niet gekomen is, wat jij ook niet gegeven hebt @OddesE, blijkt dat het geen troll was maar eerder flamebait.

edit: Ik zal voortaan dergelijke uitspraken achterwege laten.

[Reactie gewijzigd door blackmilo op 23 maart 2020 02:05]

Eigenlijk is het netter om edits onderaan toe te voegen. Je verandert naderhand je post. Mijn post was een direct antwoord op een vraag van jou, maar die vraag heb je weggehaald...
Ik heb mijn originele bericht intact gelaten om daarna bij de 'edit' verder te gaan. Dat ging over de 6 minnetjes die er waren gegeven. Dus ik begrijp je huidige reactie niet.
Je stelde een vraag in je (eerste edit op?) je reactie over de moderatie. Iets van 'Krijg je hier minnetjes als...??' en ik reageer daarop door te zeggen: 'Nee, omdat...'. Alleen mijn opmerking slaat nergens meer op omdat jij de vraag weg hebt gehaald. Nu kun je je bericht nog een keer gaan editen, maar inmiddels ben je zelf blijkbaar al vergeten wat er oorspronkelijk stond en ik ook.
Als het om bankzaken gaat houd ik van eenvoud, en ik vond die SMS-TANcodes veilig genoeg, ook na het lezen van de verhalen over technieken om ze te onderscheppen. Maar sinds de gedwongen 2FA gebruik ik toch maar de app. Met lichte tegenzin, want in de wereld van apps kunnen commerciële types zelden de verleiding weerstaan om data te gaan verzamelen en je lastig te vallen met "gepersonaliseerde aanbiedingen". En de commerciële types van de ING zijn daarop geen uitzondering.

De Postbank waar ik ooit klant werd was een vooruitstrevende, klantgerichte en keurige meneer. De ING, waar de Postbank lang geleden in opging, wil een soort kruising tussen IKEA en Facebook zijn met hun ongevraagde getutoyeer, kinderachtige plaatjes en commerciële nevenactiviteiten.
SMS is ook veilig genoeg. Er wordt iedere keer weer een onderzoek van een paar jaar geleden aangehaald om de onveiligheid van SMS aan te tonen, maar in de tussentijd hebben alle providers als de nodige extra beveiliging aangebracht. Zo heeft iedere provider SMS firewalls die alles van untrusted sources blokkeert, en dubieus verkeer van trusted sources in quarantaine zet.
En zijn veel meer aanvallen op SMS dan alleen de punten waarop de door jou genoemde maatregelen van toepassing zijn zoals onderschepping op het device zelf door malafide apps, phishing ('ik heb u per ongeluk een code gestuurd, kunt u deze terugsturen"). SMS wordt in de security wereld niet als erg veilig medium gezien en als het op MFA aankomt als een van de zwakkere methodes aangemerkt. Diverse bronnen noemen het "beter dan niets" maar niet toereikend genoeg in veel gevallen.
Ja, leuke theorie met die malafide apps, maar daar zijn 2FA-apps ook gevoelig voor, zoals deze trojan bijv. bewees: nieuws: Onderzoekers: nieuwe Cerberus-trojan kan 2fa-codes op Android stelen
ING heeft een ander idee dan de Rabo van wat 2FA is, en SMS-TAN was sowieso al 2FA dus daarvoor hoefde het er niet uit. Bij de Rabo is 2FA om in te loggen op de bankomgeving een stuk relaxter (éénmalig met de scanner een koekje aan laten maken waarna dat koekje een automatisch 2e deel van de 2FA vormt) dan bij de ING (meerdere keren per sessie opnieuw een volledige 2FA voltooien).
Bij beide gewerkt, dat is inderdaad een groot verschil. Postbank was de ooit de gemeentegiro, met een hele andere cultuur. Zelfs nog ooit gewerkt aan het tan code systeem, in C.
Dus ze gaan o.a. ‘verder’ met een scanner zoals Rabobank? Ik dacht dat het de bedoeling was deze scanners z.s.m. ook uit te faseren?
En de app, voor zover ik lees. Lijkt te lijken op constructie Rabobank. Tot een bepaald bedrag kan je eenvoudig met app en een pincode betalen. Daarboven met de scanner.
Voordeel bij ING is dat je voor hogere bedragen geen scanner nodig hebt. Wij zijn hier allemaal over op de app en hebben geen scanner(s). Is een beetje vreemd als je een app hebt EN daarbij nog een scanner nodig hebt?
@KopjeThee en @ItsWillem nee hoor, bij gebruik van de app geen scanner nodig, ever.
Aha, alleen als je via de desktop een betaling doet, dan wel?

[Reactie gewijzigd door ItsWillem op 22 maart 2020 13:58]

Geloof het of niet, maar er zijn nog steeds mensen die geen smartphone hebben. En die kunnen de app dus niet installeren en voor hun is er die scanner.
Bedoelt*, maar ik snap 'm nu ja...
Je kan bij praktische alle banken het uitschakelen dat je extra verificatie nodig hebt alleen of dat wijs is, is een ander verhaal.
Die irritiante Raboscanner is ook zo iets. Rabobank had jaren geleden al beloofd die uit te zullen faseren maar voor de PC is deze helaas nog steeds nodig. Vreemd, want als ik een betaling via iDeal op mijn telefoon doe kan ik gewoon zonder Raboscanner betalen. Koop ik echter iets online op de PC, dan vraagt -bij iedere webwinkel- iDeal altijd om de Raboscanner die je natuurlijk, net als je pasje of je portemonnee op dat moment net niet in de buurt heb liggen.

Ik pak dus zoveel mogelijk de telefoon als ik iets wil bestellen. Gelukkig heb je op sites als AliExpress de mogelijkheid om te bestellen op de PC en de betaling af te ronden met je mobiel. Ideaal.

Het vreemde is dat er een jaar of twee geleden een periode is geweest dat iDeal wél met een QR-code of pincode kwam om te betalen, maar later werd dat dus weer de Raboscanner. Nu twee jaar later is dat rotding nog steeds niet uitgefaseerd. Rabobank, ga eens mee met de tijd!
Via PC kun je ook via een ideal qrcode op je telefoon de betaling afronden. Alleen moet de webshop wel die optie aanzetten. Alleen veel shops hebben dat niet aanstaan omdat niet alle banken de standaarden van ideal ondersteunen.
Zo doe ik het ook. Als ik op de pc werk zet ik de bestelling in het winkelmandje klaar en log uit. Vervolgens log ik in op de site op mijn telefoon en rond daar de bestelling af.
Alleen nog ontzettend irritant dat wanneer je en bestelling wilt doen met een creditcard, op telefoon of pc, je alsnog de scanner weer nodig hebt.
Hoe zou je anders 2fa willen inrichten? Beide factoren via een enkele device is eigenlijk stiekum 1+fa want als iemand het apparaat overneemt is het gewoon 1fa.
Die scanner zit al sinds enkele jaren ook ingebouwd in de app. Je hebt dus die scanner niet meer nodig als je je telefoon bij je hebt.
Nee, die scanner is alleen voor QR-codes en niet voor de raboscannercode met de gekleurde balletjes.
Het zou trouwens wel een perfect idee zijn om zo de Raboscanner overbodig te maken. Maar ja, Rabobank en implementatie? |:(
Klopt inderdaad. Dacht even dat men de QR-code bedoelde...
De scanner kan wellicht als je de app niet gebruikt. Bevestingen van de betaling gaat ook via de app middels een qr code die je scant
Je kan met de Rabo App inderdaad scannen, maar alleen QR-codes, geen Raboscannercodes helaas...
Je kunt niet iedereen verplichten om een smartphone aan te schaffen. Zakelijk gebruik ik de scanner omdat een telefoon makkelijker dan een scanner kapot of kwijt raakt.
Een nadeeltje is wel dat je zelf weer batterijtjes voor die scanner moet kopen als die leeg zijn.
Een nadeeltje is dat je iedere dag de stroom moet betalen om je telefoon op te laden... :X
Wat gaat er in? van die grote knoop cellen? 6 stuks voor 80 cent bij de action...
Ik heb een rekening bij de Rabobank, maar ook een rekening bij de ING zodat ik die waardeloze scanner er niet bij hoef te pakken als ik een betaling wil doen.. Die ben ik altijd kwijt, of de batterijen zijn op. Of dat je de scanner niet bij je hebt

[Reactie gewijzigd door Sharkoon op 22 maart 2020 15:45]

Daarom was ik ook zo blij met het tancodesysteem. Straks heb je bij ING dus óf hetzelfde probleem als bij de Rabo, óf zit je vast aan een app die principieel onveiliger is.
waarom is de app principieel onveiliger?
De reden dat de tancode via SMS uitgefaseerd wordt is dat het steeds makkelijker is om die te onderscheppen. Er is genoeg malware die dat doet.
In het buitenland is het bovendien niet ongebruikelijk dat inlichtingendiensten en in sommige gevallen ook criminele netwerken* SMS verkeer tappen en dit soort codes er uit faseren.
Een app is hier in principe minder gevoelig voor (zo beschermt hij bijvoorbeeld ook tegen screen captures en draait hij daarom niet op geroote telefoons)

Dat is 1 van de redenen waarom bijvoorbeeld Twitter zeker in landen als Iran 2FA via app adviseert
Welke ontwikkeling heb ik gemist die bewijst dat zo'n app inherent onveiliger is (dan moet ik namelijk wat persoonlijke voorzorgsmaatregelen aan gaan passen)


*ik mee me te herinneren dat deze bendes vooral in zuid Amerika en zuid oost azie opereren maar prik me er niet op vast
De app is principieel onveiliger omdat hij volledige betaalfunctionaliteit heeft en/of aan hetzelfde netwerk hangt als het apparaat van de andere factor. De kraker hoeft dus maar 1 apparaat of 1 internetverbinding over te nemen. Bij een losse scanner is inbreken op de 2e factor volstrekt onmogelijk en bij een losse telefoon met sms-tan is het een stuk lastiger omdat de kraker toegang tot het telefoonnetwerk moet hebben en het nummer aan de banksessie moet zien te koppelen.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 20:11]

Enige lastige is dat je dat apparaatje mee moet nemen als je ergens anders wilt internetbankieren.
Dat... gaat niet gebeuren. Zit nu juist bij ING omdat ik geen apparaatje bij me hoef te hebben. (anders dan mobiel)
Over het algemeen zijn de computer waarop jij je transactie doet en het mobiele apparaat wat de sms ontvangt 2 gescheiden apparaten. de TAN onderscheppen is dus vrijwel onmogelijk. Als er al mallware is die hem weet te onderscheppen dan heb je nog niet het device overgenomen (inclusief login/paswoord) waar de banksessie loopt.
Er vanuit gaande dat de https sessie met de bank veilig is kun je zo dus overal ter wereld vrij veilig je transacties doen. (zeker als mobiel internet een uitdaging is.)
Die scanner zit ook in de app. je hebt die losse scanner dan niet meer nodig.
Bij de Rabobank niet hoor
Precies, maar ga maar eens een Ideal betaling doen via de Rabobank. De Rabobank Ideal pagina bevat namelijk geen qr code!
Klopt, de scanner in de Rabo App werkt alleen met QR-codes (die geen enkele iDeal webshop aanbiedt) en dus NIET met de Raboscannercode met de gekleurde balletjes.
Idd, Mollie en pay bieden overigens wel een QR code aan waarbij je exple iet moet aangeven of je dit wilt aanhieden. Maar de ideal pagina van de Rabobank zelf toont geen enkele vorm van QR code.
Enkel voor de mensen die geen mobiele app hebben of willen.
Niet alleen bij Rabobank, bij bijv. ASN werkt dat ook zo.
Klopt, maar tot nu toe heb ik bij online aankopen altijd de keuze gehad om met de App of met de Digipas de iDeal betaling te bevestigen
Het lijkt mij een goed plan dat de ING een gescheiden TAN code app maakt. Nu wil de ING dat alle klanten bankzaken gaan afhandelen op het mobiele platform.

Op het moment dat je de app gaat gebruiken kun je via de web bovendien versie geen wijzingen meer doen en heb je tevens minder inzage. Dat lijkt me nogal een "irreversibel" keus.

Gezien dat sms niet 100% veilig is wil de bank ervan af. Maar met de huidig app zitten al je bankzaken in je broekzak. Mogelijk dat de ING en app kan maken voor mensen die zich niet veilig voelen met alle bankzaken op een telefoon. Is het een idee om alleen TAN codes te ontvangen in een app onder te brengen?
Ik wil helemaal geen app. Momenteel krijg ik mijn TAN-codes via SMS wat vrijwel overal ter wereld werkt met minimaal een gsm verbinding. App's hebben internet nodig om te werken en dat is er op veel plekken niet / slecht.
Voor mij is ING zodra de tan(sms) code afgeschaft wordt einde verhaal. Dan zijn er vele banken die exact dezelfde service bieden voor minder geld.
Dan zijn er vele banken die exact dezelfde service bieden voor minder geld.
Is dat wel zo? De meeste grote banken werken allemaal met identifiers of een ander hardware device. Daar is ook een reden voor; het is veiliger dan SMS authenticatie. SMS is geen veilig medium.
Maar wat is er onveilig als een 3e persoon een code bekijkt?
Wat heb je aan "041528" (inderdaad een geldige TAN code)
(zelf nooit de SMS gebruikt, ik had alleen maar een papieren lijst)
Een TAN-code op zichzelf is niet nuttig, maar in combinatie met gebruikersnaam het wachtwoord ben je binnen. Verspreid een louche app die korting, geluk, zaklamp-functie of andere zaken belooft, waarvoor gebruikers een account moeten aanmaken. Vraag ook toegang tot sms-berichten, veel gebruikers zullen akkoord gaan. Zo niet, geef een melding dat het nodig is voor een activatie-sms of zoiets en probeer het opnieuw. Wanneer iemand een account maakt, probeer dan de combinatie van gebruikersnaam en wachtwoord bij alle gangbare banken. Doe ook nog wat variaties met het wachtwoord als het niet lukt.

Dit hele gebeuren automatiseer je uiteraard. Het is niet belangrijk als je slechts eens in de duizend installaties beet hebt. Want zodra je beet hebt, dan heb je gebruikersnaam, wachtwoord en toegang tot sms-berichten waarnaar de TAN-codes verstuurd worden. En met een geautomatiseerd proces is geld heel snel overgemaakt van spaarrekening naar betaalrekening en vanuit daar foetsie. Voordat de gebruiker door heeft waarom die TAN-sms'jes ontvangt van z'n bank en alarm geslagen heeft, is het geld al weg.

Nu is jouw telefoon ongetwijfeld helemaal dichtgezet, maar denk aan de minder tech-vaardige mensen die alle apps die los en vast zitten installeren. Als je bij zo iemand in de app-machtigingen gaat kijken, hoeveel apps hebben dan toegang tot sms'jes? Er hoeft er maar eentje tussen te zitten...

Oh, en zelfs als je je eigen telefoon op orde hebt kan je provider natuurlijk je nummer weggeven aan een kwaadwillende. Zie bijvoorbeeld https://youtu.be/LlcAHkjbARs?t=234

[Reactie gewijzigd door ari op 22 maart 2020 15:46]

In een SMS met tan-code staat ook het bedrag genoemd.
Als dat niet klopt, is er meer aan de hand en moeten er toch heel wat alarmbellen afgaan.
De gebruiker ziet een onverwachte TAN-code binnenkomen en slaat alarm. Maar de app leest de sms, geeft de code door en voordat de gebruiker de hele zaak geblokkeerd heeft, is de transactie allang uitgevoerd. Wanneer de app de sms zelfs helemaal onderschept en voorkomt dat de gebruiker de sms überhaupt binnen ziet komen is het helemaal feest.
SMS is niet veilig maar het is wel 1 enkele factor in de 2fa. In de praktijk is het voor een kraker dus geen laaghangend fruit.
SMS is niet veilig maar het is wel 1 enkele factor in de 2fa. In de praktijk is het voor een kraker dus geen laaghangend fruit.
Voor de kraker die daadwerkelijk achter MFA authenticatie tokens aan zit is het de defacto plek om te beginnen. Niet in de laatste plaatst omdat deze tokens vrij makkelijk te phishen zijn in sommige gevallen. Dit kan zowel bij de eindgebruiker als bv bij de telecom provider.

[Reactie gewijzigd door Bor op 22 maart 2020 15:17]

Phishen bij de eindgebruiker is een groot risico bij tanlijsten. Als je tan-sms wilt phishen moet je het bericht onderscheppen en wijzigen. Maar dan moet je dus zowel de computer als de mobiele telefoonverbinding overnemen. Dat lijkt me toch niet 'vrij makkelijk'.
Is dat wel zo? De meeste grote banken werken allemaal met identifiers of een ander hardware device. Daar is ook een reden voor; het is veiliger dan SMS authenticatie. SMS is geen veilig medium.
Als ik een keylogger in een laptop weet te krijgen, het pasje van die persoon skim (incl pincode) en een identier ophaal houdt helemaal niks me tegen de rekening van mijn slachtoffer te plunderen, zonder dat het slachtoffer op enig moment doorheeft dat hij aangevallen wordt. Dat wordt pas duidelijk als het te laat is.

Als ik een keylogger in een laptop van een ING gebruiker weet te krijgen ben ik er niet. Ik heb de telefoon van het slachtoffer nodig voor de 2FA van transacties. Die kan ik niet proberen alleen maar te hacken of the keyloggen, het toestel is uniek gekoppeld aan de ING account. Het slachtoffer zal er heeeeeel snel achter zijn dat zijn telefoon weg is en heeft de kans het toestel te blokkeren via ING.
Als die telefoon ook nog eens beveiligd is met een code/vingerafdruk/o.i.d. is het blokkeren eerder gedaan dan het leeghalen van de rekening.

Enige mogelijkheid zou de 'bekende' SS7 hack zijn en de SMS'jes omleiden. Daarvoor moet ik wel weten welk nummer er gekoppeld is en moet ik er voor zorgen dat alleen het gewenste SMS'je wordt omgeleid, niet alle verkeer. Dat is lastiger dan een pasje skimmen en een pincode afkijken.

De SMS authentificatie is bij ING trouwens al grotendeels (misschien wel al helemaal) uitgefaseerd, de 2FA authentificatie loopt via de app (met een aparte logincode).

[Reactie gewijzigd door renevanh op 22 maart 2020 18:33]

Als je bankzaken wilt doen dan heb je toch sowieso een internetverbinding nodig :?
Geloof het of niet, er bestaan nog steeds internetcafés op plekken waar geen internet via de mobiele telefoon beschikbaar is.
Ik hoop dan ook niet dat je in een internetcafe bankzaken gaat doen, maar goed. Daarnaast zou je gemakkelijk een hotspot via je laptop kunnen maken :)
Om TAN-over-SMS te compromitteren, moet dat internetcafé je mobiele verbinding overnemen. Dat is toch wel een beetje next level dus in de praktijk zal het juist met TAN-codes redelijk veilig zijn.
@ItsWillem @mae-t.net @thatanas Ik zou voor een dataplan kiezen in plaats van een internet hotspot of intenetcafé. E-sim is zeker een handige optie over grens van de EU. In buurlanden is met gebruik van roaming zelfs al veel meer toegestaan dan in ons eigen land, maar dat verschilt ook per provider.

[Reactie gewijzigd door DefaultError op 23 maart 2020 10:11]

Daarnaast zou je gemakkelijk een hotspot via je laptop kunnen maken :)
Niet als er ter plaatse geen internet via de mobiele telefoon beschikbaar is, zoals @thatanas zegt.
Er zijn nog genoeg plaatsen waar er überhaupt geen mobiel netwerk is. Voor internet ga je dan naar de dichtstbijzijnde stad waar vermoedelijk een internetcafé de enige mogelijkheid is.

Dat laatste is inderdaad wel snel aan het verdwijnen, zodra er ergens een bedrade internetverbinding is, dan is er tegenwoordig ook wel een mobiel netwerk en die laatste ondersteunen steeds vaker internet. De vraag is dan enkel nog ofdat je er met je Nederlandse sim op kan of een lokale sim moet nemen, maar dat laatste is in steeds meer landen niet mer mogelijk.
Kanttekening: in Nederland heb je een vergunning nodig om alcohol te schenken wanneer je jezelf café wilt noemen. De term internetcafé is daardoor, in ieder geval in Nederland, inaccuraat.
Internet-coffeshop dan ...???
Niet echt een steekhoudend argument.

Overal waar een GSM verbinding is, is ook internet. Zeker in Nederland.

Als er geen internet is, heb je die SMS ook niet nodig, want zonder internetverbinding werkt je bankieren app / website ook niet.
Echter in niet EU landen heb ik niet overal data verbinding voor mijn telefoon. Maar heb ik wel Internet toegang op een laptop of desktop.

Bij veel vakanties mag je ook maar 1 of 2 devices aansluiten op de wifi verbinding. GSM hoeft er daar niet 1 van te zijn...
In dergelijke scenario's heb je inderdaad gelijk.

Echter, persoonlijk zou ik via een (openbare) Wi-Fi nooit mijn bankzaken regelen.
Terwijl dat met TAN of met de scanner wel veilig genoeg is. Tel je zegeningen.
Overal waar een GSM verbinding is, is ook internet.
Yeah, wat je vergeet is *bruikbaar* internet. SMS is max 160 bytes. Voordat je al klaar bent met TLS authenticatie is men 30x meer ( https://tls.ulfheim.net/ ) bytes verder dan een gemiddeld TAN code bericht. Success op je mega-trage-en-onstabiele-verbindingen die nog zeker bestaan.

Dat iets kan is prima, of het praktisch is is een 2e factor die men vaak vergeet.

Verder, als je in een land als China bent, en je bank maakt gebruik van Google Cloud Services, kan je fluiten naar je internet-based-tan-code / authenticatie methode (werkte als IT admin voor een bedrijf met mensen die vaak in China zaten, DRAMA).

SMS krijg je wel gewoon.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 15:06]

Biedt de ING dan geen alternatief?

Ik gebruik al jaren de mobiele app, die heeft geen TAN codes nodig (werkt de bankieren app wel in China?)
Maar ik kan me herinneren dat je via de website bankiert, je wel een optie had voor het geval de SMS niet aangekomen is.

Wellicht ligt het aan mij, maar ik snap niet dat mensen op ieder moment van de dag op iedere locatie over hun internetbankieren moeten beschikken. Als er ergens geen goede verbinding is, dan kan het toch wel wachten tot je wel ergens een goede verbinding hebt? En mocht het afhankelijk zijn van een bekabelde verbinding, dan zijn er ook wel oplossingen om daarmee een verbinding voor je mobiel te realiseren.

Wellicht als je voor maanden in de rimboe zit met zeer slecht internet speelt dit wellicht, maar anders zie ik niet in waarom een betaling niet even kan wachten totdat er beter internet is of totdat je thuis bent.
Als iemand hier meer over kan vertellen hoor ik het graag :)
Overal waar een GSM verbinding is, is ook internet. Zeker in Nederland.
Genoeg plaatsen hier waar je op papier wel internet hebt, maar in de praktijk toch enkel een mager GPRS-signaal en je dus bij een bank-app-actie minuten staat te wachten en er zelfs uitgeknikkerd wordt vanwege een time-out. De SMS werkt dan wel perfect.
Je gaat bankieren via internet en bent dan bezorgd dat je een code niet krijgt ... omdat er geen internet is.
Het is inderdaad geen sterk verhaal, maar Wifi/4G is wat anders dan een RJ45 kabel in je PC. Ik heb iig. nog geen smartphone gezien met een RJ45 aansluiting :)
Wellicht off-topic, maar het is mogelijk om een iPhone of iPad bedraad op het internet aan te sluiten met de juiste verloopstekkers. Of het met Android toestellen ook mogelijk is, weet ik niet.

Handig is anders, maar als het moet dan kan het.
Gemakkelijker is andersom: je laptop bedraad aansluiten en de Wifi-module vervolgens als hotspot configureren zodat je telefoon een wifi-signaal van de laptop krijgt. Geen verloopstekkers nodig.
Dat is het verschil tussen bedraad en draadloos internet ;).
Ik zou met de app binnen Europa mijn bankzaken kunnen regelen met de app. Dat kost me data, maar dat is niet onoverkomelijk. Buiten Europa zou ik dat ook kunnen, als ik gebruik zou maken van het abonnement van mijn werkgever. Kost mijn werkgever data. Dat is minimaal en waarschijnlijk geen probleem omdat het een flatfee abonnement betreft, maar toch. En dan heb ik die mogelijkheid wel, vele anderen misschien niet en dat moet dan op een plek zijn waar er wel een mobiele verbinding is of een wifi-verbinding.

En dat zijn wel een paar mitsen en maren die niet overal op de wereld vanzelfsprekend zijn. Om een lange discussie kort te maken: waarom zouden we een app moeten willen hebben als het anders kan en je niet altijd/overal ter wereld je betaling kan doen. Via een app zou mijn bank misschien informatie van mij kunnen verzamelen waarvan ik dat helemaal niet wil.
Daarvoor kun je een scanner aanvragen, dan heb je geen app nodig.
Bij inloggen of overboeken krijg je een QR-code op je scherm. Deze scan je met de scanner, een klein apparaatje met een camera. Deze geeft een code op het scherm en die voer je in. De code is vergelijkbaar met de oude TAN-code, alleen nu zit er een apparaatje bij.
Enige lastige is dat je dat apparaatje mee moet nemen als je ergens anders wilt internetbankieren.
Dan zijn er vele banken die exact dezelfde service bieden voor minder geld.
Noem er eens 3
Mogelijk dat banken, in dit geval de ING, er op in kan spelen. Ga je naar het buitenland verhaal en als optie in je bankzaken. Minder veilig met voorwaarden of bewust van deze consequenties;-/ Bij de bank hebben ze notabene mensen die hiervoor betaald krijgen. Als andere banken beter voorwaarden/mogelijkheden hebben dan is inderdaad overstappen een goede keus.
Persoonlijk vind ik een app ook niet perce een slecht idee. Waar ik het echter niet mee eens ben is dat je nu vast zit aan google of apple om je bankzaken te regelen. Voor android heb je de playstore nodig om de app te kunnen installeren en ben je dus gedwongen om google's privacyschandalen (Om maar wat te noemen) maar gewoon te accepteren.

Uit principe heb ik daarom niets van google op mijn smartphone, maar dan kan ik dus ook geen geld overmaken zonder zo'n vervelende scanner. Ik heb het er met de ING over gehad met de suggestie om de app ook direct beschikbaar te stellen als apk. Ze gaan er naar kijken zeiden ze, maar ik moet het nog zien...
Hoezo heb je de Play Store nodig? Wat dacht je van Aurora Store?
Was de suggestie om een app te maken met enkel het verzenden van TAN op je mobiele OS? Dat lijkt me voor de hand liggend. Ook een mogelijkheid is om in het buutenland, als je geen dataplan hebt, om optineel sms in te schakelen. Met in acht nemen van de voorwaarden. Zie :@Spessduk @DefaultError
Ik snap ook niet dat men niet naar extra veiligheid van de App kijkt.
Ik zie hier behoorlijk wat mensen die ook problemen met de App hebben.
Alternatief zou misschien zijn dat je de permissies wat de App mag, alleen via "Mijn ING" kunt instellen.
Nu kun je zover ik het begrijp alles vanuit de App doen.
Als je kunt limiteren wat de App kan, bijvoorbeeld alleen bevestigen, dan is het dat al beter.
Ik heb dit trouwens voorgesteld toen ik een paar weken geleden de ING klantenservice aan de telefoon had, maar daar verwijzen ze weer door.

Daarnaast kun je bij ING de App maar voor 1 rekening gebruiken.
Als je voor familie de bankzaken doet dan kun je dat daardoor niet met 1 telefoon doen.
De optie is dan maar zo'n scanner maar echt praktisch is dat niet.
Ik dacht dat de TAN-code al weg was maar nog niet helemaal. Het nieuwe systeem is inderdaad veel prettiger.
En dat te bedenken dat er nog niet zo heel lang geleden nog mensen waren die de papieren TAN-lijsten hadden.
Zoals mijn moeder. Zat de hele tijd te hannessen met die papieren TAN-vodjes. Gelukkig is ze nu over op de App en dat werkt verrassend goed. De ING is wat dat betreft de Rabobank vér voorbij.
De Rabobank scanner is wel de veiligste methode, want hun systeem is afhankelijk van de microcontroller in de persoonlijke bankpas.
Maar een klein beetje veiliger dan TAN via SMS, en veel meer gedoe. Het TAN-systeem van ING had voor mij het ideale compromis tussen veiligheid en gebruiksgemak.
Dat kan zijn maar ook daar is men bezig met uitfasering: nieuws: Rabobank begint dit jaar met uitfasering van Rabo Scanner

Dat was overigens als 2018. Ik weet niet hoe het er nu voor staat.

[Reactie gewijzigd door Bor op 22 maart 2020 14:02]

Dat kan, maar er zijn ook banken zoals ASN Bank die gewoon doorgaan met die scanners.
rabo gebruikt nog steeds de randomreaders
Al veel eerder kreeg ik bericht dat de scanner uitgefaseerd zou worden. Anno 2020 is dit nog steeds niet het geval en heb je dat ding (plus je pasje) nog steeds nodig om af te rekenen bij webshops op de PC of laptop.
Dat zal best, maar als je gebruikersgemak en veiligheid samenvoegt is de Rabobank met die scanner al jaren echt een vreselijk onhandige bank. Zelfs de reden dat ik bij ze weggegaan ben, jaren terug.
Zat je in bad, in de trein of op werk: kon je weer niet betalen omdat niemand zo'n rotding bij zich had.
Die scanner zit toch al een paar jaar ingebouwd in de Rabo app. Die losse scanner had je niet nodig als je je smartphone bij de hand hebt.
Dat is een QR-scanner, niet geschikt om de gekleurde Raboscannercodes mee te scannen.
Mijn moeder vond die SMS eigenlijk alleen maar vervelend. Ze woont niet in Nederland en haar mobiele verbinding viel vaak weg (HDSPA als ze geluk had, anders 3G...). Haar internetverbinding ging via DSL, dus was wel stabiel

(tegenwoordig heeft ze de app en heeft ze zelfs waar zij woont een zeer goede 4G verbinding)
Ik heb tot het einde de papieren lijst aangehouden omdat SMS nu juist veel minder veilig is.
En hoe groot was dat risico nu echt?
Even groot als een stuk malware op je telefoon.
Als je de volledige transactie op je telefoon doet is het inderdaad niet veilig, maar dat gaat ook op voor transacties via de app. Als je de transactie op je computer doet en de TAN op je telefoon ontvangt, is het bijna even veilig als een losse scanner.
Sterker nog, eigenlijk nog groter. SMS authenticatie tokens zijn bijvoorbeeld doel van phishing. Daarbij komt nog onderschepping bij de carrier, sim swapping etc. Malware is maar een van de bedreigingen.
Ik werk vaak bij ouderen en kwam soms nog wel eens een TAN code lijst tegen (en daarmee moesten ze betalen). Zo'n scanner is een veel beter en veiliger systeem ;)
Ik werk vaak bij ouderen en kwam soms nog wel eens een TAN code lijst tegen (en daarmee moesten ze betalen). Zo'n scanner is een veel beter en veiliger systeem ;)
Ik denk dat je nu briefjes met pin/inlog codes gaat vinden.
ik vond sms veel gebruiksvriendelijker, daar lag de actie van een 2FA code generen bij de bank. scheelde een aantal handelingen aan de klant-kant
Heel leuk maar ik ken mensen die geen smartphone gebruiken om div redenen, welk alternatief komt er voor deze mensen?
Een QR code reader die je kunt aanvragen. Deze leest een QR van je scherm en geeft vervolgens een code terug.
Niet helemaal een QR code, t is een klein vierkant (ong. 30*30) gevuld met dots, sommige zijn blanco anderen hebben n kleur. Met de scanner genereer je een code die je kan invullen bij de transactie.

Heb zelf voor de scanner gekozen, mn smartfoon (Honor C5) is niet meer uptodate (Android 7.0), krijg al lange tijd geen updates meer. Dus beschouw ik het apparaat als niet veilig genoeg om de Ing app te installeren, ongeacht dat de app wel veilig is. Ik heb gewoon geen zin om een goed functionerende smartfoon te vervangen omdat de Ing dat wil. De veiligheid ligt nu bij de Ingscanner en mn pc.
Als je PC dan maar wél up-to-date is...
Goh, dat hadden ze in de jaren 90 ook bij de ABN-Amro met telebankieren. (Via viditel!)
Dan had je ook een scanner die kleurcodes van het scherm las.
(zelf nooit gebruikt, maar ik installeerde toen de modems en de software bij bedrijven/instellingen)
Ik ben benieuwd hoe veel klanten begin deze maand nog niet over waren op de app of scanner. Je heb dan of de post van ING niet gelezen (en ook het nieuws niet gevolgd) of er doelbewust voor gekozen niets te doen.
Ik heb er doelbewust voor gekozen niets te doen.

Tot vorige maand stond ik nog op een papieren tancodelijst. Toen moest ik echter 2500 euro pinnen voor een marktplaatsaankoop en was de lijst kwijt. Op het kantoor zette ze toen mijn codes op SMS.

2 fase authenticatie is een veilig middel en het uitfaseren hiervan is een beveiligingsprobleem. Alles concentreren rond de app is doodgewoon onveilig voor klanten. Als iemand je bedreigt kan hij je nu dwingen om 10.000 euro te pinnen door je limiet tijdelijk te verhogen met je mobiel en je te laten pinnen.

Ik ga maar eens kijken naar een andere bank.
Ik heb er ook expres voor gekozen om overgaan op scanner of app zo lang mogelijk uit te stellen. Het is zo'n gedoe. Om een overschrijving te doen vanaf mijn desktop moet ik inloggen met een wachtwoord, de app openen, de vingerafdruk scanner gebruiken, of een pin invoeren, bevestigen, de pin invoeren, de app logt me ui, dan de betalingen klaar zetten en versturen, de app weer openen, weer een vingerafdruk, weer bevestigen, weer een pin of vingerafdruk, de app afsluiten, de bevestiging op de website wegklikken... En voor een zakelijke rekening waar ik een scanner voor heb is het hetzelfde: pin, scannen, pin, code overtypen -- en dan na de betalingen gemaakt te hebben, alles nog een keer. Wat een gedoe...

En laten we wel wezen, veiliger dan een papieren tan lijst kan het gewoon niet.
Scanner meteen aangevraagd toen ik de brief kreeg. Kreeg de scanner letterlijk op de dag dat ze zouden stoppen met sms-tan. Dag ervoor gebeld met ING, leveringen schenen vertraging te hebben.
Inderdaad, ik heb ook direct de scanner aangevraagd op 4 maart. Levering voor 25 maart. Lijkt erop dat ING niet genoeg scanners op voorraad heeft.
Dat klopt niet. Ik was begin van de maand nog niet over, ben ik nog steeds niet, maar had al wel de scanner aangevraagd. Zolang je die voor het eind van de maand zou krijgen, was het goed.
Ik heb heb ook de scanner aangevraagd, en binnen. maar express niet geactiveerd.
dus ik krijg nog altijd tan codes via sms :)
Klopt helemaal, bewust gekozen om niets te doen. Even zien hoe lang de tan code nog blijft bestaan. Vind het een een ideaal systeem die tancode. Heb geen zin in een app op een telefoon en vind thuisbankieren prima voor die overmaking zo nu en dan. Ken de raboscanner van de Rabo maar het ideale van de tancode is dat ik er geen extra apparaat voor nodig heb. Kwam er vanmiddag achter dat de tan code nog prima werkt. Jammer dat die eruit gaat. Denk zelfs weer aan overschijven met kaarten.......
Via SMS was zo veel sneller. Safari vult de code automatisch aan en betaling klaar.

Nu moet ik eerst:
- Mijn telefoon zoeken die ergens in huis slingert
- De melding openen
- Login in de app met FaceID
- Dan nog eens de 5-cijferige app-code intoetsen

Ik doe de meeste betalingen inmiddels al met mijn creditcard, om dit gedoe te voorkomen.

[Reactie gewijzigd door sanderblaaat op 22 maart 2020 13:54]

Ik lees vooral veel kritiek. Ik ben wel benieuwd hoe jullie dit in deze tijd zouden oplossen.
Met TAN-codes natuurlijk, duh! ;)

Naja een app geeft wel een hoop betaalgemak, dus daar moet dan toch iets op verzonnen worden. Banken kopen liefst uit de catalogus maar die krijg je niet zomaar in handen. Is dus lastig om in te zien waar de keuze tegenwoordig tussen gaat.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 20:09]

Her alternative voor de tancodes zijn helaas niet voor iedereen bruikbaar,
Mijn oudtante heeft Parkinson, geen smartphone, dus kreeg ze een reader, helaas kan zei deze niet gebruiken omdat de camera been bepaalde focus tijd heeft, en dat lukt niet


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True