Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

ING stelt uitfasering tan-code uit wegens coronavirus

ING stelt het uitfaseren van de tan-code uit wegens het coronavirus. De app en de scanner zouden de werking van de 2fa-codes overnemen, maar de bank rekent bij de overstap op veel vraag om hulp bij ING-vestigingen, wat nu niet mogelijk is.

Het vaarwel aan tan-codes is voor onbepaalde tijd uitgesteld, zegt ING. "Alles staat op zijn kop en dat geldt ook voor onze plannen." Oorspronkelijk was de bank van plan om eind deze maand de tan-codes buiten gebruik te stellen. Eventuele berichten die klanten daarover ontvangen hebben van de bank, kunnen ze dus ook als niet verzonden beschouwen.

Volgens ING is de tan-code inmiddels zo'n 32 jaar oud. De codes zijn een reeks tekens waaraan een volgnummer verbonden is. Bij een overboeking via internetbankieren geeft de bank een volgnummer op, waarna de klant de code moet invoeren. Tan-codes kan men op papier krijgen of per sms. Inmiddels zijn er twee alternatieven op tan-codes: de scanner, sinds 2019, en bevestigen in de ING-app, sinds 2017.

Door Mark Hendrikman

Nieuwsposter

22-03-2020 • 13:19

266 Linkedin

Reacties (266)

-12660262+1104+214+31Ongemodereerd111
Wijzig sortering
Dat het 32 jaar oud is, is niet bepaald een goede reden wat mij betreft. En zo'n app is ook te kraken. Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien. Dus ook in die van je bank.

Als je je TAN codes goed bewaart is er gewoon geen enkel probleem. Ik heb meer vertrouwen in een TAN lijst die in de kluis ligt, dan een app met mogelijke kwetsbaarheden en een OS dat niet goed afschermt, en 24/7 verbonden is met internet.

[Reactie gewijzigd door GekkePrutser op 22 maart 2020 13:54]

Ik ben dus niet de enige paranoïde ITer, mijn e.dentifier is ook nog nooit aan de USB gehangen.

Het issue met TAN codes is dat het effectief een wachtwoord op een briefje is wat je in een lade thuis legt. Of als je het via SMS binnenkrijgt het net zo makkelijk is te onderscheppen als via een gehackte Android phone, alleen hoef je nu geen toegang te verschaffen tot de smartphone en werkt het bij elke telefoon...
Wat ik me altijd afvraag met zulke dingen.
Hoe vaak is dit in de praktijk nu misgegaan (bij jou). En is de bank niet gewoon aansprakelijk als de app lek blijkt?
Ik gebruik al jaren de app. 100en, zo niet 1000en betalingen ontvangen en gedaan... Denk er gewoon echt niet over na, is nog nooit fout gegaan.
TAN codes, zeker op papier, lijken me echt het minst veilig van alle opties.
Maar misschien hebben jullie er dus slechte ervaring mee, of kennen jullie cases waar dit is misbruikt?
Nee, de bank heeft juridisch alles afgedekt. In de praktijk hanteert men een zekere coulance, als gevolg van de aandacht die het heeft van consumentenorganisaties. Als de mensen hun vertrouwen in de bank verliezen heeft de bank een probleem, dat blijven ze liever voor.

En wat die app betreft, zoals ik boven ook al schreef:
1) Systeemopslag vol, kan niet meer updaten - iedere software heeft gaten
2) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.
Die app is dus echt heel veilig
Geen idee hoor, maar mijn kind heeft niet mijn telefoon bij zich, zeker niet als ie buiten de deur is. En stel dat dat zou gebeuren... De app heeft een pincode en vingerafdruk of dubbele pincode nodig om ook maar iets te kunnen doen in de bank app. Je geeft toch ook niet dat papier met tan codes mee aan je kind.
De app werkt simpelweg niet op een niet ondersteund toestel of niet ondersteunde versie/ software.
En dat vertrouwen in de bank is dus precies wat ik aangeeft. Zodra mensen geld kwijtraken, of de bank niet thuisgeeft, is die klant weg, en zal niemand die app nog gebruiken. Gaat niet gebeuren dus. Althans, ik maak me er (nog) totaal niet druk om.

[Reactie gewijzigd door GeeEs op 23 maart 2020 11:01]

Geen idee hoor, maar mijn kind heeft niet mijn telefoon bij zich, zeker niet als ie buiten de deur is.
Met zijn drieën, vieren, vijven op de bank ... of bij droog weer in de voortuin, met nog twee kinderen er met de step omheen en twee met een fiets.
De app heeft een pincode en vingerafdruk of dubbele pincode nodig om ook maar iets te kunnen doen in de bank app.
klopt.
Je geeft toch ook niet dat papier met tan codes mee aan je kind.
Nee, die niet nee, en die willen ze ook niet.
De app werkt simpelweg niet op een niet ondersteund toestel of niet ondersteunde versie/ software.
Nee, op telefoons met Windows 10 of BBOS 10 doen die het niet meer, op Android 2,0 waarschijnlijk nog wel.
En dat vertrouwen in de bank is dus precies wat ik aangeeft.
Jij aangeeft?
Zodra mensen geld kwijtraken, of de bank niet thuisgeeft, is die klant weg, en zal niemand die app nog gebruiken.
Dat mensen geld kwijtraken gebeurt duizenden keren per jaar
In 2018 bedroeg de schade door fraude met betaalpassen 4,9 miljoen euro.

Mensen zijn in Nederland zo goed als verplicht een bankrekening te hebben want als werkgever mag je iemand niet cash uitbetalen. Ook om een uitkering te ontvangen moet je een bankrekening hebben. Als je in een huurhuis woont moet je die per bank betalen en ook je zorgverzekering kun je alleen per bank betalen. En de AMRO, RABO, ING, BUNQ en Volksbank (o.a. SNS, ASN en Regiobank), Triodos en andere banken gebruiken dezelfde systemen, iDeal, codekastje om de bankpas uit te lezen (bv AMRO eDentifier) of codekastje dat aan je bankpas is gekoppeld (ING scanner) en een mobiele app.

https://www.businessinsid...elf-voor-opdraait-412369/
Gaat niet gebeuren dus. Althans, ik maak me er (nog) totaal niet druk om.
Wat niet gaat gebeuren is dat de mensen massaal weglopen. De banken zijn allemaal hetzelfde dus of je nu door de kat of door de hond gebeten wordt, maakt niet uit, gebeten wordt je toch wel.
in principe is de bank niet aansprakelijk tenzij jij het kan aantonen dat zij iets fout hebben gedaan (dat kun je niet want geen toegang tot logs van Bank). Maar de banken strijken de hand over hun hart en betalen je terug.
Ja, zoiets had ik ook wel eens begrepen.
Prima dus. Ik snap echt niet dat je nog zou hanessen met TAN codes, laat staan vooruitgeprint op papier.
Sterker nog, daarvan kan een bank altijd zeggen dat jij die niet goed hebt opgeborgen. Risico klant dus.
Bij de app kunnen ze er gewoon niet onderuit. Zij faciliteren die ook.
Het is geen wachtwoord op een briefje, het is een codeboek zoals spionnen gebruiken. Die doen dat ook al honderden jaren zo.

Het punt met het onderscheppen van een TAN-SMS, is dat je er pas wat aan hebt als je zowel de computer binnen kan als de telefoonverbinding kunt onderscheppen. Bovendien moet je niet alleen de TAN lezen, maar ook een gewijzigde SMS doorsturen. Het vergt dus nog best iets meer moeite dan alleen een app op een smartphone kraken.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 15:19]

Heb je niet nog meer nodig? Inlognaam en wachtwoord?
Die heb je als je de computer compromitteert. Je moet dus echt zowel de computer als de telefoon kraken als je met TAN-SMS wilt rotzooien.
Een wachtwoord op een briefje? Lolwut? Je hebt helemaal niks aan die tancodes zolang je niet ook de inlognaam en het wachtwoord hebt, dus je vergelijking is een beetje mank.
TAN-codes zijn geen extra manier om je bank account te kraken. Het is niet alsof je met het hebben van de TAN-codes op papier plotseling het account in kan. Zowel op papier als via een omweg verkregen extra gegevens die je nodig hebt zijn een aanvulling op de beveiliging. Aanvullingen die ieder hun eigen voor- en nadelen hebben. Dat klanten hun TAN-codes op papier niet goed bewaren verzwakt de beveiliging, en dat gaat net zo goed op voor het slorig omgaan met toegang tot een app of een scanner. De TAN-codes zijn niet perse minder veilig omdat ze op papier staan en de andere middelen digitaal zijn.
Veel ouderen bewaren hun TAN-codes niet goed. De gebruiker is altijd nogsteeds de zwakke schakel en door het uitfaseren van 1 manieren sluit je een mogelijke toegangsdeur tot je gebouw.
Om een papieren lijst te stelen zal iemand fysiek moeten inbreken, via internet lukt het niet. Ik heb er meer vertrouwen in dan dat mensen veilig omgaan met hun telefoon.
Via bijvoorbeeld phishing is het heel goed mogelijk om papieren TAN-codes in bezit te krijgen. In het verleden genoeg van die mails gehad: 'log in en vul de eerstvolgende drie TAN-codes in'. Zoiets.
Dat klopt maar daarvoor maakt het niet uit of de codes op papier staan of niet. Deze mail zou overigens niet werken met het systeem van ING want die codes worden niet op volgorde uitgegeven. Er zijn geen "eerstvolgende drie codes". Je kan de gebruiker wel om drie codes vragen, maar je weet niet welke code de bank gaat vragen. Als je veel geduld hebt en voldoende codes hebt losgepeutert zal je vroeg of laat geluk hebben en een van die codes kunnen gebruiken. Dan kun je eenmalig 1 betaling goedkeuren. Dat blijft een overzichtelijk klein risico. Waterdicht is het niet, maar dat is het nooit, het gaat allemaal om kansen, verhoudingen en risico's.

[Reactie gewijzigd door CAPSLOCK2000 op 23 maart 2020 14:07]

Sommige stoppen dat soort dingen in hun portemonee ..
Zolang ze niet ook hun wachtwoord daar bewaren blijft het risico vrij klein, met alleen die codes kun je niks. Ideaal is het uiteraard niet.
Dat is van de bank uit geredeneerd. Maar @GekkePrutser heeft er ongetwijfeld goed over nagedacht hoe zijn tan-lijst uit de handen van onbevoegden te houden. Daarvan uitgaand brengt, uit zijn gezichtspunt, een app op een telefoon grotere risico's met zich mee.
Maar @GekkePrutser heeft er ongetwijfeld goed over nagedacht hoe zijn tan-lijst uit de handen van onbevoegden te houden. Daarvan uitgaand brengt, uit zijn gezichtspunt, een app op een telefoon grotere risico's met zich mee.
ALS je al een telefoon hebt.. ik niet. Papieren TAN-codes werken al jaren goed (sinds Girotel al.)
En zoals gezegd, mensen zonder telefoon kunnen een scannertje aanvragen en voortaan gaan gebruiken.
Ik heb bewust de app van ING verwijderd.
Ik wil zien welke incasso's er gaan komen. In de app moet ik dan verplicht toestaan dat ING mijn data voor analyse doeleinden gebruikt.

Dat is verplicht privacy in. Dat staat mij niet aan.

Ook heb ik echt bij lange na geen miljoen, maar toch veranderen ze eenzijdig dat als je een miljoen hebt een 'spaarrekening' negatieve rente mag rekenen. Het verbaast mij dat de Financiële autoriteit niet ingrijpt. Dat is immers geen sparen meer, zelf opnemen en in een kluis stoppen geeft dan meer 'rendement'.
Denk je eens in dat je met pensioen gaat, dan wil je geen risico's meer lopen met je geld, dus spaarrekening. Gaan ze er los van de inflatie en rekening kosten ook nog rente voor vragen als je geld bij ze onderbrengt. Lijkt me zwaar indruisen tegen de bank eet; handelen in belang van de klant. Dit is gewoon; we hebben paar ton nodig, waar halen we dat makkelijk zonder veel weerstand, ja je mag switchen naar een andere bank, na decennia klant te zijn geweest. Zo vriendelijk. En geen garantie dat de andere banken een paar maanden later niet mee gaan doen. Gewoon omdat het kan, want niet terug gefloten door de waakhond.


Nu moet ik dus verplicht een kastje mee als ik geld over wil maken naar mijn rekening om mijn boodschappen te betalen óf verplicht hun app installeren én verplicht akkoord gaan dat ze mijn data mogen gebruiken voor data analyse.

Waakhond wordt wakker. Die Gan analyses zijn niet anoniem. De machine trained (learned) modellen bevatten persoonlikje informatie.

De privacy en de financiële rechten worden met voeten getreden, waakhonden sta op!

[Reactie gewijzigd door djwice op 22 maart 2020 20:34]

Ik weet niet aan welke financiële autoriteit je precies denkt, maar banken mogen op dit moment gewoon een negatieve rente rekenen, dus geen autoriteit kan daarop optreden.

Het probleem wordt bewust veroorzaakt door de Europese Centrale Bank. Die vindt het nodig nog steeds de rente idioot laag te houden. Dat en andere ‘maatregelen’ deden ze eerst met als excuus de financiële crisis, maar ook nu die al jaren voorbij is, blijven ze het maar volhouden.

Nu er weer een economische domper dreigt, hebben ze in feite geen kruit meer te verschieten want de ‘vorige’ maatregelen zijn nooit opgeheven.

De zwakke euro-landen zijn nog steeds zwak en hebben dan ook meteen weer al steun gekregen. Komt alles bij elkaar niet serieus over die ECB.
Onzin, je kunt middels je bankafschriften gewoon laten zien dat je contant hebt opgenomen.
Als er een goede reden is zal de rechter vast wel een bevel tot inzage willen geven, is mij en mijn kennissen nog nooit overkomen.
Verder is het bezitten van contant geld op zich helemaal niet illegaal dus voor dat aan houden moet een goede andere reden zijn.
Ik betaal (bijna) alles cash (nu iets minder vanwege corona), en nee ik heb geen smartphone.
iedereen die zo een app niet op z'n telefoon wil hebben, zoals ik.
Geen idee waarom je de app ruk vindt, want de ING app is naar mijn mening echt goed.
1) Ouderen gebruiken een dumbphone die wel SMS kan ontvangen maar geen app heeft.
2) Systeemopslag vol, kan niet meer updaten.
3) Telefoon wordt ook gebruikt door de kinderen om youtube op te kijken en spelletjes op te spelen en ... nu even niet tijdens corona maar ... gaat zelfs van hand tot hand met de buurtkinderen.

Echt veilig hoor.
Als ik wil inloggen op mijning via de computer moet ik 3x !!!! mijn pincode intoetsen op de ing app op mijn telefoon.. hoe NIET gebruiksvriendelijk is dat?

Eerst om de app te openen om de goedkeuring te zien
Vervolgens om de goedkeuring te doen weer de code
En dan nog een keer om de app te kunnen openen.. :?

Dus nee. RUK

[Reactie gewijzigd door C6DL op 23 maart 2020 10:00]

Juist wel. De grootste groep die tancodes gebruiken zijn ouderen en juist die hebben moeite met het "gewoon goed bewaren" van tancodes. Dit zijn mensen met eigen gewoontes, mensen in verzorgingstehuizen of minder scherp inlevingsvermogen wat in de huidige tijd veilig is.

Dat de app te hacken is, tjsa, alles kan, maar volgens meer een theoretisch risico dan reeel. Volgens mij bestaan deze apps al dik 10 jaar, heb je een voorbeeld van zo'n dergelijk hack waarmee de 2fa is gehacked?
Het probleem van het op afstand overnemen van 2fa is zeker niet theoretisch. Het is al heel oud en nog steeds actueel. Afgelopen week nog arrestatie door Europol waarbij de verdachten op deze manier meer dan 100 keer toesloegen. In de afgelopen jaren was het ook met regelmaat in het nieuws.
Scanner slijt op de cijfers van de code net iets meer. Wil je onderweg bankzaken doen, zit ie naast je telefoon in de broekzak - onhandig dik, valt of 'rolt' er dus snel uit.

Ik zie niet zo snel waarom dat veiliger is?

[Reactie gewijzigd door djwice op 23 maart 2020 21:07]

Ja maar dat maakt het een stukje 'eigen verantwoordelijkheid'. Bovendien 'wat in de huidige tijd veilig is'? De beveiliging van een stukje papier is in de laatste jaren niet veranderd. En laten dit nou juist ook de mensen zijn die geen pincode op hun telefoon zetten ('want die zat ook niet op mijn huistelefoon'). Het veilig opbergen van dingen zijn juist zaken die oudere mensen wel begrijpen, omdat ze in tijden met minder veiligheid hebben geleefd.

Voor een TAN code moet je fysiek inbreken bij iemand. Dat is een behoorlijke barriere, en ook eentje die overduidelijk bewijs oplevert en bovendien gedekt wordt door de verzekering.

En MFA apps zijn ook gehackt. Die van onze banken niet, maar eens moet de eerste keer zijn.

[Reactie gewijzigd door GekkePrutser op 22 maart 2020 14:07]

Voor een TAN code moet je fysiek inbreken bij iemand. Dat is een behoorlijke barriere,
Het slachtoffer martelen is ook nog een dingetje ;) want dat A5-je met mijn codes is niet zo makkelijk gevonden, Terwijl ik zelf er rechtstreeks heen kan lopen.

En ja, het gehele vel met twee soorten codes is een A4, maar de PAC-codes heb ik niet nodig want ik doe de bankzaken alleen maar thuis.
Het veilig opbergen van dingen zijn juist zaken die oudere mensen wel begrijpen, omdat ze in tijden met minder veiligheid hebben geleefd.
Dit zijn ook dezelfde mensen die een briefje met hun pincode in hun portemonnee stoppen omdat ze hem anders vergeten. Ik heb mijn ouders ook flink moeten overtuigen voordat ze de stap naar een bankieren app waagden want ze wisten heel zeker "dat de computer veel veiliger is!". Ja, heel veilig als je wachtwoord op een briefje naast de computer ligt en je niet zeker weet of dat het groene slotje naast de URL nu wel of niet klopt. In tegenstelling tot de beveiligde verbinding van een bankieren app die alleen werkt als deze de juist beveiligde verbinding legt.
TAN-codes in een kluis? Vast heel veilig, maar totaal ongebruikersvriendelijk.
Daarnaast, hoeveel keren gaat het mis ten op zichtte van alle betalingen?
Mijn ouders denken daar totaal anders over. Een code overtypen van papier is erg eenvoudig, en de sleutel van de kluis heeft ook geen handleiding nodig.

Niet iedereen is een Tweaker.
Want een code op een schermpje overtypen is hogere wiskunde? Of je vingerafdruk scannen?
Misschien zonder mobiel onhandig, maar ik zou m'n moeder dan een mobiel geven denk ik.
Mocht dat niet meer gaan, zou ik de bankzaken voor haar doen vermoed ik, want dan is het sowieso niet handig dat ze daar mee bezig zou gaan.

[Reactie gewijzigd door GeeEs op 22 maart 2020 21:40]

Met een beetje geduld kan je een goed deel van de TAN codes loggen als je iets van malware op de PC kunt zetten daar dit een statische lijst is.
Aan het loggen van de reeds gebruikte tan-codes heb je helemaal niets om de volgende tan-code te kunnen voorspellen. Hoe de codes zijn gegenereerd weet ik niet, maar het zal geen simpele pseudorandomreeks zijn.
Als je ze kan loggen ben je dus al het scherm aan het lezen. Dan is het eenvoudig om een lijst te beginnen opbouwen van code 1 = ######, code 2 = ######, enz...
Volgens mij snap je niet helemaal hoe een papieren tan-code-lijst werkt. Elke code wordt één keer opgevraagd en daarna nooit meer, en er zit geen enkel verband tussen de codes. Je hebt helemaal niks aan een log van gebruikte codes. De enige manieren om dat te kraken zijn
1) door de lijst te stelen/fotograferen, of
2) door de HTTPS-sessie te kapen.
Bij het laatste vorm ben je als gebruiker al zodanig de sjaak dat elke vorm van beveiliging aan diggelen is, dus als echt serieuze 'zwakheid' blijft alleen 1 over. En de kans dat dat misgaat is gewoon kleiner dan dat elke andere vorm van praktische huis-tuin-en-keukenbeveiliging mis gaat, zolang je die lijst gewoon thuis bewaart (wat dan ook meteen de reden is dat men het niet graag meer gebruikt tegenwoordig).

Als je een TAN-code via SMS veiliger noemen omdat dit 'niet statisch' is, is de boel omdraaien. SMS is gewoon aantoonbaar en praktisch stuk, papier heeft gewoon überhaupt geen digitale inbraakmogelijkheid.

[Reactie gewijzigd door bwerg op 22 maart 2020 14:56]

Bij het gebruiken van de app als 2fa kun je jezelf nog redden als je https sessie is gekraakt. Bij papieren tan is een gekraakte https sessie niet van echt te onderscheiden, bij de app zie je nog waar je toestemming voor geeft. Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben. Als je papieren tan gebruikt heb je dat niet door.
bij de app zie je nog waar je toestemming voor geeft. Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben. Als je papieren tan gebruikt heb je dat niet door.
Als de bank zegt dat ik 2000 euro ga overmaken zie ik dat toch ook ? De hacker moet meerdere dingen kraken. Zowel mijn sessie met de webshop als de sessie naar de iDeal en de betreffende bank. waarbij door alle partijen gemeld wordt om welk bedrag het gaat en waarvoor/ waarheen.
Dan pas zoek ik de gevraagde TAN-code op van mijn papiertje en vul m in.
Nee, want als ik jouw HTTPS-sessie heb gekraakt dan zie jij alleen een pagina dat het inloggen is mislukt, en dat je om te bevestigen dat je een persoon bent en geen hacker bij je volgende inlogpoging een TAN-code moet invullen. Onder water ben je natuurlijk gewoon ingelogd en heb ik een overschrijving van 2000 euro klaargezet naar mijn rekening.Bij jouw volgende "inlogpoging" vul je een TAN-code in en heb ik mijn 2000 euro.
Ah ja, daar heb je wel gelijk in. Maar bij TAN via SMS gaat dat ook gewoon fout. Dat heeft echt geen enkel voordeel ten opzichte van de andere methodes, alleen nadelen ('het is niet statisch' is geen voordeel - voor zover het überhaupt wat betekent).
Als je denkt dat je gaat inloggen, maar de app heeft het over 2000 euro overmaken dan kun je je nog even achter de oren krabben.
Maar als ik ook inderdaad 2000 euro wil overmaken, dan staat in het bevestigings-smsje alleen dat bedrag; het rekeningnummer waar het naartoe gaat wordt niet vermeld. Dus als iemand een man-in-the-middle aanval uitvoert, dan kunnen ze het rekeningnummer van de ontvanger aanpassen (maar het bedrag hetzelfde laten!) en dan heb ik niets door. TAN-via-sms zou veiliger kunnen zijn dan TAN-op-papier, maar met de huidige implementatie is dat maar gedeeltelijk zo. (En, met afschaffing voor de boeg, verwacht ik niet dat ze dat nu nog gaan verbeteren.)
Alle methodes zijn natuurlijk gevoelig voor social engineering, op het moment dat je het daar over hebt dan doet je technische beveiliging niet zoveel meer. Het voornaamste doel is dan om het proces niet te gestroomlijnd te maken in de hoop dat de gebruiker eerder doorheeft dat wat er aan de hand is toch niet zo slim is om aan mee te werken. Een goede social engineer "helpt" een klant daar nog steeds doorheen, en dan is de klant nog steeds de sjaak.
Het verschil waar ik op doel, is dat je bij papieren TAN's de volgende groep van 5 zo door het slachtoffer kunt laten oplezen, dat is een aantal jaar geleden ook echt zo gedaan door aanvallers, terwijl je bij SMS-TAN steeds 1 tegelijk krijgt. Papieren TAN is dus 'gestroomlijnder' voor social engineering.
Het verschil waar ik op doel, is dat je bij papieren TAN's de volgende groep van 5 zo door het slachtoffer kunt laten oplezen,
Werkt niet want je weet niet wat de volgende 5 gaan zijn, de TAN codes worden niet op volgorde gebruikt.
Dan moet je wel een (bijna) oneindige lijst maken.
En "TAN 540" (die eens per 999 tancodes voorbijkomt) is dan een andere TAN-code.
En ja, er is een kans, met 'slechts' 1 miljoen TAN-codes dat je een keer raak schiet.
De hoofdprijs in de staatsloterij heeft een betere kans. ;)

Edit:
Bijvoorbeeld:
TAN 540 = 123456 en bij de volgende lijst is TAN 540 = 654321
Sta je dan met je gelogde tan-lijst. ;)

[Reactie gewijzigd door LooneyTunes op 22 maart 2020 14:34]

Hoe weet een kwaadwillende welke codes er nog op de lijst staan als hij die lijst niet heeft? Aan de reeds gebruikte codes heb je niets, want die worden niet hergebruikt. Als van de honderd codes op de lijst de meeste gebruikt zijn, krijg je alvast de volgende lijst opgestuurd met weer honderd helemaal nieuwe codes.
Met een beetje geduld kan je een goed deel van de TAN codes loggen als je iets van malware op de PC kunt zetten daar dit een statische lijst is.
De lijst met 100 verschillende, eenmalig te gebruiken, codes is alles behalve statisch.
En als de lijst bijna "op" is, krijg (kreeg?) je een nieuwe lijst.
Het is enigszins te vergelijken met de rolling-codes van afstandsbedieningen.
Alleen de bank weet de (hash van de) code en jij de code van het papier.
Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien. Dus ook in die van je bank.
Kan je dit onderbouwen? Android apps draaien namelijk in hun eigen sandbox en zijn gescheiden d.m.v. SELinux. Apps kunnen niet de app data van een andere app uitlezen.

[Reactie gewijzigd door P1nGu1n op 22 maart 2020 14:03]

Je ben hier in de war met het prive stuk wat elke app heeft (waar ze gevoelige informatie opslaan) en de gedeelte partitie (waar iedereen, met toestemming van de gebruiker, bij alles kan).

Anders gebruik even een 2FA app en laat mij zien hoe jij bij de lijst met sleutels kan die de 2FA codes genereren. Je claimt iets en levert geen bewijs.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 14:42]

En zo'n app is ook te kraken. Zeker op Android, waar apps nog altijd de data van andere apps kunnen inzien.
Waar heb jij het nou over? Op een STANDAARD Android installatie hebben apps zijn eigen prive omgevingen in "/data/data/appID", waar geen andere apps bij kunnen, alleen de app zelf. Verder heb je **gedeelde** ruimte, wegens historische redenen, "/sdcard", daar kan, met toestemming van de gebruiker, iedereen bij (de gebruiker zelf, + apps waar toestemming voor is gegeven).

Je moet echt even stoppen met onzin en leugens verspreiden.

Verder kan je misschien ge-jailbreak-te Androids bedoelen, maar iPhones zijn ook te jailbreaken, dus daar is geen verschil.

[Reactie gewijzigd door grasmanek94 op 22 maart 2020 14:37]

Als het om bankzaken gaat houd ik van eenvoud, en ik vond die SMS-TANcodes veilig genoeg, ook na het lezen van de verhalen over technieken om ze te onderscheppen. Maar sinds de gedwongen 2FA gebruik ik toch maar de app. Met lichte tegenzin, want in de wereld van apps kunnen commerciële types zelden de verleiding weerstaan om data te gaan verzamelen en je lastig te vallen met "gepersonaliseerde aanbiedingen". En de commerciële types van de ING zijn daarop geen uitzondering.

De Postbank waar ik ooit klant werd was een vooruitstrevende, klantgerichte en keurige meneer. De ING, waar de Postbank lang geleden in opging, wil een soort kruising tussen IKEA en Facebook zijn met hun ongevraagde getutoyeer, kinderachtige plaatjes en commerciële nevenactiviteiten.
SMS is ook veilig genoeg. Er wordt iedere keer weer een onderzoek van een paar jaar geleden aangehaald om de onveiligheid van SMS aan te tonen, maar in de tussentijd hebben alle providers als de nodige extra beveiliging aangebracht. Zo heeft iedere provider SMS firewalls die alles van untrusted sources blokkeert, en dubieus verkeer van trusted sources in quarantaine zet.
En zijn veel meer aanvallen op SMS dan alleen de punten waarop de door jou genoemde maatregelen van toepassing zijn zoals onderschepping op het device zelf door malafide apps, phishing ('ik heb u per ongeluk een code gestuurd, kunt u deze terugsturen"). SMS wordt in de security wereld niet als erg veilig medium gezien en als het op MFA aankomt als een van de zwakkere methodes aangemerkt. Diverse bronnen noemen het "beter dan niets" maar niet toereikend genoeg in veel gevallen.
Ja, leuke theorie met die malafide apps, maar daar zijn 2FA-apps ook gevoelig voor, zoals deze trojan bijv. bewees: nieuws: Onderzoekers: nieuwe Cerberus-trojan kan 2fa-codes op Android stelen
Dus ze gaan o.a. ‘verder’ met een scanner zoals Rabobank? Ik dacht dat het de bedoeling was deze scanners z.s.m. ook uit te faseren?
En de app, voor zover ik lees. Lijkt te lijken op constructie Rabobank. Tot een bepaald bedrag kan je eenvoudig met app en een pincode betalen. Daarboven met de scanner.
Voordeel bij ING is dat je voor hogere bedragen geen scanner nodig hebt. Wij zijn hier allemaal over op de app en hebben geen scanner(s). Is een beetje vreemd als je een app hebt EN daarbij nog een scanner nodig hebt?
Die irritiante Raboscanner is ook zo iets. Rabobank had jaren geleden al beloofd die uit te zullen faseren maar voor de PC is deze helaas nog steeds nodig. Vreemd, want als ik een betaling via iDeal op mijn telefoon doe kan ik gewoon zonder Raboscanner betalen. Koop ik echter iets online op de PC, dan vraagt -bij iedere webwinkel- iDeal altijd om de Raboscanner die je natuurlijk, net als je pasje of je portemonnee op dat moment net niet in de buurt heb liggen.

Ik pak dus zoveel mogelijk de telefoon als ik iets wil bestellen. Gelukkig heb je op sites als AliExpress de mogelijkheid om te bestellen op de PC en de betaling af te ronden met je mobiel. Ideaal.

Het vreemde is dat er een jaar of twee geleden een periode is geweest dat iDeal wél met een QR-code of pincode kwam om te betalen, maar later werd dat dus weer de Raboscanner. Nu twee jaar later is dat rotding nog steeds niet uitgefaseerd. Rabobank, ga eens mee met de tijd!
Via PC kun je ook via een ideal qrcode op je telefoon de betaling afronden. Alleen moet de webshop wel die optie aanzetten. Alleen veel shops hebben dat niet aanstaan omdat niet alle banken de standaarden van ideal ondersteunen.
De scanner kan wellicht als je de app niet gebruikt. Bevestingen van de betaling gaat ook via de app middels een qr code die je scant
Je kunt niet iedereen verplichten om een smartphone aan te schaffen. Zakelijk gebruik ik de scanner omdat een telefoon makkelijker dan een scanner kapot of kwijt raakt.
De app is principieel onveiliger omdat hij volledige betaalfunctionaliteit heeft en/of aan hetzelfde netwerk hangt als het apparaat van de andere factor. De kraker hoeft dus maar 1 apparaat of 1 internetverbinding over te nemen. Bij een losse scanner is inbreken op de 2e factor volstrekt onmogelijk en bij een losse telefoon met sms-tan is het een stuk lastiger omdat de kraker toegang tot het telefoonnetwerk moet hebben en het nummer aan de banksessie moet zien te koppelen.

[Reactie gewijzigd door mae-t.net op 22 maart 2020 20:11]

Het lijkt mij een goed plan dat de ING een gescheiden TAN code app maakt. Nu wil de ING dat alle klanten bankzaken gaan afhandelen op het mobiele platform.

Op het moment dat je de app gaat gebruiken kun je via de web bovendien versie geen wijzingen meer doen en heb je tevens minder inzage. Dat lijkt me nogal een "irreversibel" keus.

Gezien dat sms niet 100% veilig is wil de bank ervan af. Maar met de huidig app zitten al je bankzaken in je broekzak. Mogelijk dat de ING en app kan maken voor mensen die zich niet veilig voelen met alle bankzaken op een telefoon. Is het een idee om alleen TAN codes te ontvangen in een app onder te brengen?
Ik wil helemaal geen app. Momenteel krijg ik mijn TAN-codes via SMS wat vrijwel overal ter wereld werkt met minimaal een gsm verbinding. App's hebben internet nodig om te werken en dat is er op veel plekken niet / slecht.
Voor mij is ING zodra de tan(sms) code afgeschaft wordt einde verhaal. Dan zijn er vele banken die exact dezelfde service bieden voor minder geld.
Dan zijn er vele banken die exact dezelfde service bieden voor minder geld.
Is dat wel zo? De meeste grote banken werken allemaal met identifiers of een ander hardware device. Daar is ook een reden voor; het is veiliger dan SMS authenticatie. SMS is geen veilig medium.
Maar wat is er onveilig als een 3e persoon een code bekijkt?
Wat heb je aan "041528" (inderdaad een geldige TAN code)
(zelf nooit de SMS gebruikt, ik had alleen maar een papieren lijst)
Een TAN-code op zichzelf is niet nuttig, maar in combinatie met gebruikersnaam het wachtwoord ben je binnen. Verspreid een louche app die korting, geluk, zaklamp-functie of andere zaken belooft, waarvoor gebruikers een account moeten aanmaken. Vraag ook toegang tot sms-berichten, veel gebruikers zullen akkoord gaan. Zo niet, geef een melding dat het nodig is voor een activatie-sms of zoiets en probeer het opnieuw. Wanneer iemand een account maakt, probeer dan de combinatie van gebruikersnaam en wachtwoord bij alle gangbare banken. Doe ook nog wat variaties met het wachtwoord als het niet lukt.

Dit hele gebeuren automatiseer je uiteraard. Het is niet belangrijk als je slechts eens in de duizend installaties beet hebt. Want zodra je beet hebt, dan heb je gebruikersnaam, wachtwoord en toegang tot sms-berichten waarnaar de TAN-codes verstuurd worden. En met een geautomatiseerd proces is geld heel snel overgemaakt van spaarrekening naar betaalrekening en vanuit daar foetsie. Voordat de gebruiker door heeft waarom die TAN-sms'jes ontvangt van z'n bank en alarm geslagen heeft, is het geld al weg.

Nu is jouw telefoon ongetwijfeld helemaal dichtgezet, maar denk aan de minder tech-vaardige mensen die alle apps die los en vast zitten installeren. Als je bij zo iemand in de app-machtigingen gaat kijken, hoeveel apps hebben dan toegang tot sms'jes? Er hoeft er maar eentje tussen te zitten...

Oh, en zelfs als je je eigen telefoon op orde hebt kan je provider natuurlijk je nummer weggeven aan een kwaadwillende. Zie bijvoorbeeld https://youtu.be/LlcAHkjbARs?t=234

[Reactie gewijzigd door ari op 22 maart 2020 15:46]

SMS is niet veilig maar het is wel 1 enkele factor in de 2fa. In de praktijk is het voor een kraker dus geen laaghangend fruit.
Als je bankzaken wilt doen dan heb je toch sowieso een internetverbinding nodig :?
Geloof het of niet, er bestaan nog steeds internetcafés op plekken waar geen internet via de mobiele telefoon beschikbaar is.
Ik hoop dan ook niet dat je in een internetcafe bankzaken gaat doen, maar goed. Daarnaast zou je gemakkelijk een hotspot via je laptop kunnen maken :)
Om TAN-over-SMS te compromitteren, moet dat internetcafé je mobiele verbinding overnemen. Dat is toch wel een beetje next level dus in de praktijk zal het juist met TAN-codes redelijk veilig zijn.
Niet echt een steekhoudend argument.

Overal waar een GSM verbinding is, is ook internet. Zeker in Nederland.

Als er geen internet is, heb je die SMS ook niet nodig, want zonder internetverbinding werkt je bankieren app / website ook niet.
In dergelijke scenario's heb je inderdaad gelijk.

Echter, persoonlijk zou ik via een (openbare) Wi-Fi nooit mijn bankzaken regelen.
Je gaat bankieren via internet en bent dan bezorgd dat je een code niet krijgt ... omdat er geen internet is.
Daarvoor kun je een scanner aanvragen, dan heb je geen app nodig.
Bij inloggen of overboeken krijg je een QR-code op je scherm. Deze scan je met de scanner, een klein apparaatje met een camera. Deze geeft een code op het scherm en die voer je in. De code is vergelijkbaar met de oude TAN-code, alleen nu zit er een apparaatje bij.
Enige lastige is dat je dat apparaatje mee moet nemen als je ergens anders wilt internetbankieren.
Persoonlijk vind ik een app ook niet perce een slecht idee. Waar ik het echter niet mee eens ben is dat je nu vast zit aan google of apple om je bankzaken te regelen. Voor android heb je de playstore nodig om de app te kunnen installeren en ben je dus gedwongen om google's privacyschandalen (Om maar wat te noemen) maar gewoon te accepteren.

Uit principe heb ik daarom niets van google op mijn smartphone, maar dan kan ik dus ook geen geld overmaken zonder zo'n vervelende scanner. Ik heb het er met de ING over gehad met de suggestie om de app ook direct beschikbaar te stellen als apk. Ze gaan er naar kijken zeiden ze, maar ik moet het nog zien...
Ik dacht dat de TAN-code al weg was maar nog niet helemaal. Het nieuwe systeem is inderdaad veel prettiger.
En dat te bedenken dat er nog niet zo heel lang geleden nog mensen waren die de papieren TAN-lijsten hadden.
Zoals mijn moeder. Zat de hele tijd te hannessen met die papieren TAN-vodjes. Gelukkig is ze nu over op de App en dat werkt verrassend goed. De ING is wat dat betreft de Rabobank vér voorbij.
De Rabobank scanner is wel de veiligste methode, want hun systeem is afhankelijk van de microcontroller in de persoonlijke bankpas.
Maar een klein beetje veiliger dan TAN via SMS, en veel meer gedoe. Het TAN-systeem van ING had voor mij het ideale compromis tussen veiligheid en gebruiksgemak.
Dat kan, maar er zijn ook banken zoals ASN Bank die gewoon doorgaan met die scanners.
Ik heb tot het einde de papieren lijst aangehouden omdat SMS nu juist veel minder veilig is.
Even groot als een stuk malware op je telefoon.
Als je de volledige transactie op je telefoon doet is het inderdaad niet veilig, maar dat gaat ook op voor transacties via de app. Als je de transactie op je computer doet en de TAN op je telefoon ontvangt, is het bijna even veilig als een losse scanner.
Sterker nog, eigenlijk nog groter. SMS authenticatie tokens zijn bijvoorbeeld doel van phishing. Daarbij komt nog onderschepping bij de carrier, sim swapping etc. Malware is maar een van de bedreigingen.
Ik werk vaak bij ouderen en kwam soms nog wel eens een TAN code lijst tegen (en daarmee moesten ze betalen). Zo'n scanner is een veel beter en veiliger systeem ;)
Een QR code reader die je kunt aanvragen. Deze leest een QR van je scherm en geeft vervolgens een code terug.
Niet helemaal een QR code, t is een klein vierkant (ong. 30*30) gevuld met dots, sommige zijn blanco anderen hebben n kleur. Met de scanner genereer je een code die je kan invullen bij de transactie.

Heb zelf voor de scanner gekozen, mn smartfoon (Honor C5) is niet meer uptodate (Android 7.0), krijg al lange tijd geen updates meer. Dus beschouw ik het apparaat als niet veilig genoeg om de Ing app te installeren, ongeacht dat de app wel veilig is. Ik heb gewoon geen zin om een goed functionerende smartfoon te vervangen omdat de Ing dat wil. De veiligheid ligt nu bij de Ingscanner en mn pc.
Als je PC dan maar wél up-to-date is...
Goh, dat hadden ze in de jaren 90 ook bij de ABN-Amro met telebankieren. (Via viditel!)
Dan had je ook een scanner die kleurcodes van het scherm las.
(zelf nooit gebruikt, maar ik installeerde toen de modems en de software bij bedrijven/instellingen)
Ik ben benieuwd hoe veel klanten begin deze maand nog niet over waren op de app of scanner. Je heb dan of de post van ING niet gelezen (en ook het nieuws niet gevolgd) of er doelbewust voor gekozen niets te doen.
Ik heb er ook expres voor gekozen om overgaan op scanner of app zo lang mogelijk uit te stellen. Het is zo'n gedoe. Om een overschrijving te doen vanaf mijn desktop moet ik inloggen met een wachtwoord, de app openen, de vingerafdruk scanner gebruiken, of een pin invoeren, bevestigen, de pin invoeren, de app logt me ui, dan de betalingen klaar zetten en versturen, de app weer openen, weer een vingerafdruk, weer bevestigen, weer een pin of vingerafdruk, de app afsluiten, de bevestiging op de website wegklikken... En voor een zakelijke rekening waar ik een scanner voor heb is het hetzelfde: pin, scannen, pin, code overtypen -- en dan na de betalingen gemaakt te hebben, alles nog een keer. Wat een gedoe...

En laten we wel wezen, veiliger dan een papieren tan lijst kan het gewoon niet.
Via SMS was zo veel sneller. Safari vult de code automatisch aan en betaling klaar.

Nu moet ik eerst:
- Mijn telefoon zoeken die ergens in huis slingert
- De melding openen
- Login in de app met FaceID
- Dan nog eens de 5-cijferige app-code intoetsen

Ik doe de meeste betalingen inmiddels al met mijn creditcard, om dit gedoe te voorkomen.

[Reactie gewijzigd door sanderblaaat op 22 maart 2020 13:54]

Ik lees vooral veel kritiek. Ik ben wel benieuwd hoe jullie dit in deze tijd zouden oplossen.
Her alternative voor de tancodes zijn helaas niet voor iedereen bruikbaar,
Mijn oudtante heeft Parkinson, geen smartphone, dus kreeg ze een reader, helaas kan zei deze niet gebruiken omdat de camera been bepaalde focus tijd heeft, en dat lukt niet


Om te kunnen reageren moet je ingelogd zijn


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True