Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update - IT Pro - Nieuws

ING gaat een nieuw beveiligingsbeleid voor internetbankieren invoeren. Klanten kunnen hun wachtwoord straks via een sms opvragen; nu gebeurt dat nog via een postkantoor. Het nieuwe beleid kan een stuk onveiliger zijn.

Overboeking ING Tan-Code SMS Internetbankieren Postbank Wie vanaf 15 maart 2010 zijn wachtwoord voor internetbankieren via Mijn ING wil opvragen, hoeft niet meer vijf werkdagen te wachten op een afhaalbericht waarmee bij een ING-kantoor een wachtwoord kan worden opgehaald. In plaats daarvan zal deze in een sms-bericht worden afgeleverd.

De wijzigingen worden aangekondigd op de website van ING. De bank claimt de verandering door te voeren om het gebruikersgemak te bevorderen, maar het nieuwe beleid roept ook vragen op. Wie in wil breken op iemands account voor internetbankieren, heeft als het nieuwe beleid ingaat namelijk niets meer nodig dan iemands telefoon, gebruikersnaam, pasnummer en geboortedatum. Een portemonnee en een mobieltje roven uit een kluisje in het zwembad is dus bijna genoeg om in te loggen op iemands account; alleen de gebruikersnaam moet nog worden geraden. In veel gevallen is dit de voorletter, gecombineerd met de achternaam.

ING-klanten reageren op GoT dan ook bezorgd op de nieuwe beveiliging. In de aankondiging wordt overigens alleen vermeld dat het wachtwoord kan worden opgevraagd via sms, maar volgens een medewerkster van de ING-helpdesk kan ook de gebruikersnaam via sms worden verzonden. "Maar daarvoor heb je wel een pasnummer en geboortedatum nodig", voegt ze toe. Een woordvoerster van ING laat echter weten dat de gebruikersnaam niet per sms kan worden opgevraagd.

Beveiligingsexpert Hans van de Looy van beveiligingsbedrijf Madison Gurkha reageert echter verontrust. "Op dit moment heb je de controle over twee kanalen nodig om betalingen te kunnen doen", zegt hij. Betalingen moeten namelijk worden bevestigd via een zogeheten tan-code, die bij veel klanten via een sms-bericht wordt bezorgd. Een wachtwoord moet via een andere weg - het postkantoor - worden opgehaald. Als zowel de tan-codes als het wachtwoord via sms worden verstuurd, verdwijnt volgens Van de Looy een deel van de beveiliging: "Een van de twee kanalen valt gewoon weg. Gebruikers worden hierdoor aanzienlijk kwetsbaarder."

Het huidige beleid is wat hem betreft dan ook een stuk veiliger, omdat klanten zich bij een ING-kantoor moeten legitimeren om het wachtwoord op te kunnen halen. Het versturen van wachtwoorden via sms-berichten is overigens niet van toepassing op klanten die geen tan-codes op hun telefoon ontvangen en in plaats daarvan de papieren lijsten gebruiken. Van de Looy adviseert ING-klanten om, als het nieuwe beleid ingaat, hun portemonnee en telefoon nooit samen op te bergen. "Huur bijvoorbeeld twee kluisjes, een voor je telefoon en een voor je portemonnee."

ING-woordvoerster Monique Bouwmeester laat in een reactie weten dat de bank 'een goede afweging tussen klantvriendelijkheid en beveiliging wil maken'. Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. Ook benadrukt ING te voldoen aan de richtlijnen die toezichthouders voor internetbankieren hebben opgesteld. Klanten zouden de huidige manier waarop een wachtwoord moet worden aangevraagd niet klantvriendelijk genoeg vinden, omdat ze daarvoor naar een ING-kantoor moeten komen.

Update, 15:48: ING laat in een reactie weten dat de gebruikersnaam níet per sms-bericht kan worden opgevraagd, zoals een ING-medewerkster eerder liet weten. Hiermee is het nieuwe beveiligingsbeleid dus 'iets minder onveilig' dan gedacht, zegt beveiligingsexpert Hans van de Looy. "Het maakt het wel wat lastiger", zegt hij. "Maar dan zou ING klanten wel moeten adviseren hun gebruikersnaam te wijzigen in iets wat moeilijk te raden is." Een combinatie van een voorletter en een achternaam, zoals ING die standaard voor nieuwe klanten instelt, is volgens Van de Looy veel te makkelijk te raden. ING-woordvoerster Monique Bouwmeester zegt dat gebruikers hun username inderdaad beter kunnen veranderen naar iets wat niet voor de hand ligt. "Het is nooit slim om je voorletter en achternaam in te stellen als gebruikersnaam", zegt ze.

IT-banen

Reacties (348)

Anoniem: 325293 26 januari 2010 19:30

Aanvullend op de update in dit bericht willen we vanuit ING Webcare Team reageren op de hierboven ontstane discussie:

ING voldoet volledig aan richtlijnen die toezichthouders hebben opgesteld ten aanzien
van veiligheid internetbankieren.

Huidig proces
Klanten die op dit moment hun gebruikersnaam en/of wachtwoord kwijt zijn kunnen die heraanvragen. Zij krijgen dan een ophaalbericht en kunnen vervolgens bij het postkantoor de nieuwe gegevens ophalen. Dit proces wordt door onze klanten als klantonvriendelijk ervaren.

Nieuw proces
ING richt vanaf maart 2010 een nieuw proces in waarbij SMS Tan klanten het wachtwoord per SMS kunnen ontvangen. De klant moet hiervoor geboortedatum, rekeningnummer, pasnummer en expiratiedatum, gebruikersnaam en het mobiele nummer opgeven dat geregistreerd staat in Mijn ING. Per SMS wordt vervolgens een nieuw wachtwoord toegezonden.

Gebruikersnaam kwijt?
Indien een klant de gebruikersnaam kwijt is dan wordt deze per brief thuisgestuurd. Gebruikersnaam wordt nooit per SMS toegezonden. De gebruikersnaam die ING verstrekt aan nieuwe klanten is altijd een willekeurige code.

Met vriendelijke groet,

ING Webcare Team
http://www.ing.nl/webcare

johncheese002 @Anoniem: 325293 • 27 januari 2010 00:12

Vergoeden jullie 100% schade door plunderen, na het invoeren van deze policy?

Omdat er meer postkantoren sluiten en mensen daardoor verder moeten rijden om een wachtwoord op te halen, halen jullie de beveiliging onderuit?
Dus een slimme manager in krijtstreeppak heeft bedacht dat klantvriendelijkheid misschien wel goed zou zijn voor de bank, zeker in deze tijden?

Het is nooit in orde om wachtwoorden per sms te versturen!
Dit wachtwoord voor internetbankieren, heeft dezelfde functie/status als je pincode voor je bankpas, al hoef je daar geen username in te voeren.

Gezien de Postbank al zo vaak onderwerp van gesprek is geweest en zo vaak slachtoffer, maken jullie het nog makkelijker voor hackers, scriptkiddies en criminelen om mensen te duperen?

Binnenkort wordt gsm succesvol gekraakt (ze zijn al met een rainbow-table bezig, dus het is al gekraakt), het lijkt ook wel of jullie geen verstand hebben van het kapen van telefoons (de hele handshake procedure), niet iedereen kan dat, maar het feit DAT het kan, zou naar mijn mening al een goede reden zijn om geen confidential information over de gsm te sturen, het is evident dat het geen 100% foolproof kanaal is.

Aan de rand van de afgrond, is een stap voorwaarts niet altijd vooruitgang.
Tijd om mijn rekeningen op te doeken bij deze onveilige bank.

Janoz Moderator PRG/SEA @Anoniem: 325293 • 26 januari 2010 20:17

Waarmee de gebruikers naam dus de status krijgt die normaal bij een wachtwoord hoort. De gebruikersnaam die plain leesbaar in beeld komt bij het intoetsen en notabene met het aankruisen van een vinkje op de computer onthouden kan worden

.

Leuk die poging tot downplayen, maar als dit volgens de richtlijnen is, dan zijn de richtlijnen niet toereikend. Blijkbaar hebben ze bij de toezichthouders nog een vacature voor iemand met een beetje wiskundig inzicht en een boeren verstand.

Blaise @Janoz • 26 januari 2010 21:27

Je eerste alinea is de essentie van het probleem, en ik heb een soortgelijke reactie verstuurd naar de klantenservice.

Als je vervolgens je gebruikersnaam hebt veranderd in iets wat niet te raden valt, zoals wordt aangeraden door een woordvoerster, moet je daar weer 4 dagen op wachten als je deze bent vergeten. Houd dan alles bij het oude, dan schep je ook geen verwarring over de functies van gebruikersnamen en wachtwoorden.

neo_mkl @Anoniem: 325293 • 26 januari 2010 20:05

De ING mag dan wel voldoen aan de richtlijnen van de toezichthouders, hebben de toezichthouders wel goed nagedacht over hun richtlijnen? (klinkt als een bekend probleem..) En wellicht zijn die richtlijnen wat verouderd en aan modificatie toe. Stel dat de richtlijnen erg soepel zijn, dan laat je je daar toch niet door leiden, maar gebruik je je boerenverstand en zet je een degelijk systeem op, bijv. random reader.

[Reactie gewijzigd door neo_mkl op 22 juli 2024 19:11]

mpkossen @neo_mkl • 26 januari 2010 22:11

De random reader van de Rabobank is redelijk veilig, waar de random reader van ABN iets gevoeliger is voor fraude (dezelfde methode voor het opvragen van zowel de inlog- als betaalmethode). Ik heb ING altijd gewaardeerd om hun manier van werken: je moet de gebruikersnaam en het wachtwoord weten, en dan nog toegang tot de mobiele telefoon, danwel TAN-lijst, hebben. Helaas valt hun positie in mijn ogen ineens beneden die van de Rabobank, waar ze eerst bovenaan stonden.

HenkEisDS @Anoniem: 325293 • 26 januari 2010 20:26

En krijgen we dan ook een klantvriendelijke opt-out mogelijkheid? In de vorm van een setting in Mijn ING misschien?

Jantjeuh @Anoniem: 325293 • 26 januari 2010 20:56

Sorry, ik kan het niet laten: volgens het tweakers profiel is de account Status: Trainee" , hoe toepasselijk

Overigens snap ik nog steeds niet waarom het systeem moet worden veranderd? Dat ervaar ik als klant zelf juist als klantonvriendelijk? Is mij wat gevraagd? Gaan jullie ons weer van dit soort ongein opleggen zoals het afschaffen van de papieren afschriften zonder enig vorm van compensatie (voordeel was geheel voor jullie)? Op deze manier en door het afschaffen van zowat alle servicekantoren wordt de ING wel behoorlijk pauper, en betaal ik liever een tientje meer bij de Rabo/ABN ...

En de gebruikersnaam, als je die intikt... wordt die ook met *** - bedekt? Lijkt mij zowat alsof jullie de concepten van USERname en PASSword juist omdraaien.

Edit: Oh en is de bank er nu voor ons of voor jullie? Want jullie post is wel heel erg om jullie hachje te redden door gebruik van woorden als 'toezichthouders' , 'door onze klanten ervaren als'. Hoeveel € Bonus krijgen jullie per medewerker doordat dit systeem mogelijkerwijs meer kosten kan besparen? *onder het mom van voor onze klanten* ?

[Reactie gewijzigd door Jantjeuh op 22 juli 2024 19:11]

mpkossen @Anoniem: 325293 • 26 januari 2010 22:08

Sorry, maar het klinkt nog steeds als een achteruitgang.

Mag ik vragen waarom deze beslissing uberhaupt gemaakt is? Is het echt alleen omdat mensen klaagden over de procedure waarbij het wachtwoord op het postkantoor opgehaald moest worden of speelt er meer? Het lijkt mij nogal vreemd dat er wel naar klanten geluisterd wordt als ze naar het postkantoor moeten, en wat dagen vertraging hebben, maar niet als er bewust (want dat is het) voor een verhoogd veiligheidsrisico wordt gekozen.

Zoals meerdere tweakers al aangeven, worden de functie van de gebruikersnaam en het wachtwoord nu omgedraaid. Ik vindt dit zelf weer onwenselijk. Waarom is er geen mogelijkheid ervoor te kiezen om gewoon, naar mijn mening vertrouwd, in het geval van een verloren wachtwoord toch een brief naar het postkantoor te laten sturen? Als het dan toch om de klantvriendelijkheid te doen is (waar het alle schijn van heeft), waarom dan niet die optie bieden?

Op dit moment denk ik dat het niets anders is dan een maatregel om kosten te besparen, scheinheilig verschuild in het jasje "klantvriendelijkheid". Dit is niet alleen klantonvriendelijk, het is ook onbeschoft: een bank zou, zeker in een periode na de crisis (door banken, met name de mensen aan de top, veroorzaakt), extra voorzichting met klanten om moeten gaan. Dit spreekt dat, naar mijn mening, tegen.

Ik ga liever niet bij ING weg, vandaar dat ik me gedwongen voel dit te accepteren. Het is echter wel een laagje water in een emmer die een keer overloopt.

Kaasje123 @Anoniem: 325293 • 26 januari 2010 22:54

Ha! leuk dat jullie niet van kritiek houden en er zelfs een gebruiker voor aanmaken. Maar dit kweekt echt geen goodwill. Hier zitten genoeg tweakers die donders goed weten wat wel en niet een goede beveiliging betreft. Dat je aan de richtlijnen voldoet interesseert niemand. Wat mensen wel interesseert is een goede beveiliging.

Als ik op straat beroofd wordt en alles wordt gejat dan weten ze alles van me. Ik moet namelijk tegenwoordig een id kaart/paspoort bij me dragen van de overheid en laat daar nou net toevallig een geboortedatum opstaan. Bankpasjes heb ik ook altijd bij me (klein bedrag pinnen mag) dus ook pasgegevens is geen probleem voor de dief en mijn mobiele nummer kunnen ze dan wel achterhalen door een andere mobiele telefoon te bellen en kijken welk nummer het is. Dan blijft in essentie alleen je gebruikersnaam nog over die ze dan moeten gokken.

Voor hetzelfde geld lapt een vriend je erbij die geen vriend is en je gebruikersnaam wel eens heeft zien intypen. Vervolgens laat hij je door een ander overvallen et voilla ze weten alles wat ze willen.

Zijn jullie nu echt zo kortzichtig of lijkt dat maar zo? Als jullie werkelijk waar denken dat jullie systeem waterdicht is dan zou ik eens een paar beveiligingsmedewerkers op straat zetten en een goede in dienst nemen. En als dit niet opgelost wordt danwel een opt-out optie wordt aangeboden dan zijn jullie straks een klant kwijt.

Webcare team.... laat dat care maar achterwege.

[Reactie gewijzigd door Kaasje123 op 22 juli 2024 19:11]

PPie 26 januari 2010 13:11

Waarom maken ze niet de mogelijkheid dat je dit kunt opvragen bij een ING geldautomaat?
Je staat toch al vaak bij dat ding, je moet je identificeren met je pas en pincode en je staat ook nog op de video.
Is wel iets minder veilig als binnen ophalen bij de balie, maar wel makkelijker en het kantoor hoeft niet open te zijn.

Het gaat ze natuurlijk om het geld, versturen naar de telefoon is gewoon goedkoper dan op papier opsturen naar het kantoor...

gertvdijk @PPie • 26 januari 2010 13:42

Waarom maken ze niet de mogelijkheid dat je dit kunt opvragen bij een ING geldautomaat?

Als je bedoelt het uitprinten via de transactiebon methode is het wel een goed idee ja!
Ik zie mezelf het niet overschrijven bij zo'n automaat (denk aan veel wind, slecht weer of grote rij achter je)...

[Reactie gewijzigd door gertvdijk op 22 juli 2024 19:11]

intel_478 @gertvdijk • 26 januari 2010 23:08

Papieren bonnetje en veel wind is ook geen goede combinatie natuurlijk...

Argantonis 26 januari 2010 18:06

In de update staat hier dat de gebruikersnaam niet kan worden opgevraagd. Maar op http://www.ing.nl/particu...-in-voorwaarden-mijn-ing/ staat letterlijk dat de gebruikersnaam wél kan worden opgevraagd. Ben benieuwd wat het nou uiteindelijk gaat worden.

Als het wel kan dan wordt het voor mij tijd voor een nieuwe bank.

praseodymium @Argantonis • 26 januari 2010 19:29

Lees het stukje nog eens:

Het opnieuw aanvragen van uw inloggegevens wordt vanaf maart 2010 eenvoudiger. U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden. Daarnaast kunt u als u TAN-sms gebruikt een nieuw wachtwoord ontvangen per sms-bericht.

Er staat niks over SMS+gebruikersnaam.

precious1 26 januari 2010 12:53

Net 10 min aan de lijn gehangen met ING:
- wij weten ook niet méér dan op de website staat
- wijzigen van veilige procedure ten gunste van klantvriendelijkheid/snelheid. wij streven naar cs...
- u moet uw mobiel maar snel blokkeren als hij gejat wordt
- alleen ww wordt gewijzigt, niet login. login is dus je geheime gedeelte... en niet meer het ww LOGISCH
- single point of failure is onbekend begrip bij ING
- het komt wel goed
- het is veilig, dat garanderen wij
- opt-in / opt-out onbekend begrip, maar 'u wordt een keuze gegeven'
- notitie gemaakt op naam etc (heb ik iets om op terug te vallen als ik straks met id theft te maken krijg
- meneer was erg vriendelijk, en zij dat 'hij' er nog wel even naar zou kijken

(klinkt leuker als 'wij' denk ik? en blijkt ws een leugen behalve als jullie zelf ook even allemaal even in de telefoon klimmen.
ps je kan ook met skype bellen! <a href="skype:Call_ING?call">Klik</a>

[Reactie gewijzigd door precious1 op 22 juli 2024 19:11]

Bosmonster @precious1 • 26 januari 2010 13:02

Ik heb ook een mail gestuurd dat ik die feature wil kunnen disablen.

Het gaat niet alleen om diefstal van je mobiele telefoon. Bijvoorbeeld op werk ligt mn telefoon gewoon op mn bureau, om maar iets te noemen, en iedereen kent m'n gegevens.

TMDevil

@Bosmonster • 26 januari 2010 13:37

Ik heb ook maar een klachten mail gestuurd (via de website), ik denk niet dat het veel uitmaakt, maar ik hoop dat ze toch wel gaan inzien dat het niet echt een goed plan is, zodra ze veel klachten binnenkrijgen...
Als dit systeem zo doorgaat, dan ben ik in ieder geval geen klant meer bij de ING. Anders had ik me geld net zo goed op de DSB kunnen zetten, was ik me geld ook kwijt geweest, maar had ik tenminste nog met de hype mee kunnen doen

mcDavid @TMDevil • 26 januari 2010 13:40

Ik wil ook een klacht sturen. Alleen blijkbaar mogen mensen die Ubuntu draaien niet e-mailen! Gelijk maar 2 klachten indienen dus.

[Reactie gewijzigd door mcDavid op 22 juli 2024 19:11]

Anoniem: 318025 @mcDavid • 26 januari 2010 14:42

Dan moet je even een Windows useragent gebruiken, je hoeft niet zo achterlijk te doen omdat je Ubuntu gebruikt, mij lukt ook gewoon om die pagina's in te zien door gewoon die useragent in te schakelen.

En overigens zie ik het probleem niet, een mobiel is van jou dus niemand anders kan die code krijgen, en als iemand via deze weg je code krijgt dan zal vast en zeker familie of bekende zijn, want mijn broertje ging eens geld pinnen met mijn pinpas omdat mijn moeder de pincode erop geschreven had.

Volgens mij als jullie bang zijn dat phising software je gebruikers naam zal krijgen dan wordt gewoon hoogtijdig zelf een veiligere besturingssysteem te gebruiken, zoals Ubuntu.

Overigens sommige telefoon zijn te beveiligen met een code, zo kan ik op mijn Iphone een code in stellen, mocht ie dus gestolen worden dan komen ze er niet zomaar in. Van mij mogen ze dit invoeren ik hou mijn gebruikersnaam toch wel geheim.

Orian @mcDavid • 26 januari 2010 14:27

Inderdaad, ik kwam er ook niet in. Ook niet via firefox, welke ondersteund zou zijn... Uiteindelijk windows maar gestart, want dit is me toch net iets belangrijker. Volgende keer een klacht dat het via Ubuntu niet werkt...

hans_1990 @mcDavid • 26 januari 2010 14:30

dat is matig, probeer het hier met OS X 10.6 en Firefox 3.6 en dat wordt ook niet ondersteund.

En nee, downgraden naar 10.5 en ff 3 wat volgens ING wordt aangeraden vind ik geen optie

Robtimus @mcDavid • 26 januari 2010 14:30

Ik wist al dat Opera het niet goed deed met de ING website, maar ook met mijn Firefox 3.6 mocht ik geen email sturen. Internet Explorer 8 moest ik toen ik die net had geinstalleerd ook al in compatibility mode laten draaien op de ING website, ondanks dat hun website het hoorde te doen in "Internet Explorer 6 of hoger".

bas.kb @TMDevil • 26 januari 2010 13:48

Ik heb ook een klacht gestuurd via de website. Ik ga mijn rekeningen (en verzekeringen) opzeggen als dit nieuwe beveiligingsbeleid wordt doorgevoerd.

gekkie @bas.kb • 27 januari 2010 18:32

Ik heb bericht terug gekregen van de klantenservice dat het toch echt doorgaat, en of ze formulieren moeten opsturen ter opheffing. Dus die zijn binnenkort onderweg.

Wellicht dat een kassa / radar itempje ze nog op andere gedachten zal brengen, maar het blijft toch al zorgelijk dat er binnen zo'n organisatie zo gedacht wordt dat zo'n plan het überhaupt overleefd.

Anoniem: 306733 @bas.kb • 26 januari 2010 16:28

heel goed, ga ik ook doen.

EDIT: grutjes .. safari en firefox werken alle 2 niet met de pagina! Denk dat ik toch mn rekeningen maar gewoon op ga zeggen.

[Reactie gewijzigd door Anoniem: 306733 op 22 juli 2024 19:11]

leagallow @Bosmonster • 26 januari 2010 14:54

is dit mogelijk? dat disablen want anders ben ik er dus als de kippen bij

Amito 26 januari 2010 13:47

ING zou er goed aan doen om mensen de keuze te geven om hiervoor te kiezen. De klanten die de huidige systeem klantonvriendelijk vinden gaan dan voor de nieuwe systeem. Degene die zijn gebruikersnaam en wachtwoord nooit vergeet, blijft dan buiten schot.
Aangezien ze dit min of meer doordrukken, zou het ze sieren als ze voor de kosten van eventuele fraude opdraaien, net als bij het skimmen.

Wat kan je als consument doen nu ze dit doordrukken? De volgende stappen maken het iig lastiger voor de kwaadwillende:

Automatisch blokkeren aanzetten
Pin code instellen voor je toestel, indien mogelijk, voor als je het wil ontgrendelen. Is mogelijk op sowieso Nokia telefoons, van andere merken ben ik het niet zo op de hoogte.
Pincode instellen voor je SIM en/of de standaard PIN code aanpassen
Bij vermissing van toestel, SIM meteen laten blokkeren
Geen gebruik maken van nternetbankieren. Het andere systeem met de lijstjes is helemaal onveilig.
Als het hierdoor onwerkbaar wordt op je toestel, een andere bank zoeken

Als het onwerkbaar wordt door al die beveiliging op mijn toestel, dan wordt het t laatste. Want zonder internetbankieren wil ik niet meer en continu m'n toestel in de gaten houden pas ik voor.

[Reactie gewijzigd door Amito op 22 juli 2024 19:11]

Boudewijn 26 januari 2010 12:09

Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. .

Sure, het gaat om geld..... dan is het bijna per definitie interessant om fraude te plegen.

Ik heb gisteren de thread gelezen op GoT, en met name het idee dat je en kunt telebankieren op een iPhone (of ander toestel) en op datzelfde apparaat (dus in band) je username kunt ontvangen is eng. Zie deze reactie met name: http://gathering.tweakers...message/33346541#33346541

Tel daarbij op dat het raar is om een gebruikersnaam tot geheim te verheffen (want makkelijk raadbaar, en nu nog niet geheim) is niet echt een best practice.

[Reactie gewijzigd door Boudewijn op 22 juli 2024 19:11]

XiniX88 @Boudewijn • 26 januari 2010 12:14

Waarschijnlijk een stuk goedkoper zo dan al dat papierwerk via het postkantoor. Ik vind dat hele TAN code gebeuren sowieso al een raar gedoe, installeer een keylogger op een PC en je hebt inloggegevens waarmee je leuk alle betalingsverkeer kan inzien (daarvoor had je toch geen TAN nodig?).

Weet 1 ding zeker... Ik blijf bij mijn huidige bank met RandomReader, alles gaat gewoon via PAS + PINCODE, als ze die toch al hebben, kunnen ze net zo goed naar een automaat lopen om mijn rekening leeg te plunderen (ok kans op camera-bewaking).

Misschien ben ik wel verwend bij de Rabobank dat ik deze beveiliging wel heel erg houtje touwtje vind... Portomonnee + mobiel weg en ook nog eens met een lege bankrekening worden achter gelaten

[Reactie gewijzigd door XiniX88 op 22 juli 2024 19:11]

theeck @XiniX88 • 26 januari 2010 12:31

Ook de RABO is lek.
Grote probleem is dat het risico bij de klant ligt en niet bij de bank. Dus de bank interesseert het niet, tis niet hun geld Wat verdwijnt.

Om op de RABO terug te komen. Het lijkt veiliger maar is het niet. Als je van je pas beroofd word kan de dief je dwingen de pincode te geven. Door de calculator die je bij elke rabobank kan halen kan hij/.zij direct controleren of de pin OK is. Zo niet krijg je klapjes zo ja heeft de dief direct toegang tot je gehele rekening via de automaat en via internet.

DataGhost

@theeck • 26 januari 2010 12:40

Dat kan met de ING ook, in ieder geval met een random geldautomaat in de buurt. Zo kan je elk systeem wel lek noemen, je gezondheid is op een gegeven moment natuurlijk meer waard dan wat er op je bankrekening staat.

Verder vergeet je nog een belangrijk aspect: als je op straat beroofd wordt en onder dwang je pincode af moet staan heb je natuurlijk maar een paar minuten nodig om het zaakje te laten blokkeren. Met de ING kan een naaste (je verwacht het niet maar het gebeurt echt wel hoor) met je gebruikersnaam (gezien op het scherm), geboortedatum (weet je als naaste hopelijk) en telefoon (die je in huis niet speciaal in een kluis legt) je rekening plunderen zonder dat jij van iets weet.

ppl

Beveiliging

@DataGhost • 26 januari 2010 16:25

Dat kan met de ING ook, in ieder geval met een random geldautomaat in de buurt.

Denk ff goed na

Iemand die je beroofd gaat je echt niet nog eens ff naar een pinautomaat sleuren of eerst richting pinautomaat om dan weer naar je terug te gaan als de code niet klopt. Bij een beroving gaat het om zo snel mogelijk spul buit te maken. Dat gaat handiger met zo'n kastje dan wanneer je naar de dichtstbijzijnde pinautomaat moet.

Verder vergeet je nog een belangrijk aspect: als je op straat beroofd wordt en onder dwang je pincode af moet staan heb je natuurlijk maar een paar minuten nodig om het zaakje te laten blokkeren.

Helaas vergeet jij hier een nog veel veel belangrijker aspect: realiteitszin. Iemand die beroofd wordt is dermate in shock dat ie niet zo helder is om te bedenken dat ie dat 24/7 nummer moet bellen wat op de site van de bank staat. Brengt me bij het volgende probleem: je moet een speciaal nummer bellen omdat berovingen nou eenmaal lang niet altijd bij een pinautomaat tijdens kantooruren in de nabijheid van een kantoor van de bank plaats vinden. Daarom wordt ook vaak geadviseerd om zulke nummers in je telefoon te zetten. Maar ja..bel ze maar eens als je telefoon inclusief de rest gejat is

Leuke reactie maar je bekijkt de zaak wel ontzettend simplistisch en daardoor ook zeer onrealistisch. Dingen als aangifte, blokkeren van de nodige zaken, etc. zijn absoluut niet zaken die je eventjes in een paar minuten doet. Het kan maar het gebeurd in de praktijk gewoon niet. Realiteitszin is wat hier derhalve dan ook volledig zoek is.

Cloud @theeck • 26 januari 2010 12:44

En wat, van die aanpak, is specifiek een 'lek van de Rabobank'?

Want die aanpak werkt bij élke bank hoor. Als je geen calculator bij zo'n bank hebt, loop je gewoon naar een pinautomaat en check je de pincode daar. Heeft dus helemaal niets met de Rabo uit te staan. De beveiliging van de Rabo is zeker beter dan dit nieuwe voorstel van de ING.

theeck @Cloud • 26 januari 2010 14:31

Gelijk, maar iemand onder dwang zijn pincode afhandig maken bij een automaat is stukken lastiger dan in een stil steegje met de calculator

PolarBear @theeck • 26 januari 2010 14:48

En toch is dat vaker gebeurd.

XiniX88 @Cloud • 26 januari 2010 12:58

Hetzelfde probeer ik al 2x te zeggen. Bij de rabobank log ik in op dezelfde manier als bij een betaalautomaat. Als men mijn pincode heeft, kan men dus ook mijn rekening plunderen bij zowel een betaalautomaat als via de PC.

Pinpas + PINCODE heb je dus altijd nodig, er is nog geen andere manier bij de Rabobank bekend om geld afhandig te maken (behalve zojuist genoemde trojan die inderdaad als je geld wilde afschrijven het afschreef naar een heel ander banknummer. Maar deze truuk geld overal).

Bij de ING kun je met je PAS pinnen met Pincode + PAS maar ook met telefoon + rekeningnummer + geboortedatum (laat je geboortedatum nu net in je paspoort staan, je rekeningnummer op je pas en je telefoon vaak in dezelfde broek zitten). Hierbij kan de beveiliging dus op 2 manieren stuk.... En een zakkerollertje heeft al alle ingredienten om je rekening te plunderen.

Jaap-Jan @theeck • 26 januari 2010 12:49

Ja hoor, en een dief stopt even rustig die pinpas in een Random Reader om thuis achter zijn pc rustig geld over te maken naar zijn eigen bankrekening.

Denk na, die plundert dan gewoon de bankrekening door het geld op te nemen bij de automaat.

Een dief die zo slim is om een telefoon en pinpas te jatten, is van een heel andere categorie dan de straatrover.

jiriw @Jaap-Jan • 26 januari 2010 13:35

Ehm, nee. Een dief die een pas-pin combinatie heeft gaat niet even naar een betaalautomaat in Nederland om geld op te nemen want de kans is veel te groot dat z'n gezicht in de volgende Opsporing Verzocht verschijnt.
Wat'ie doet is: Hij scant de magneetstripinfo van de pas, stuurt die met de pin als atachment van een emailtje naar z'n vriendje in Rusland en laat daar in siberisch dorp x de lokale geldautomaat flapjes uitspugen. Daarna krijgt hij z'n aandeel via Western Union keurig contant uitbetaald.

johnbetonschaar @jiriw • 26 januari 2010 15:29

Bivakmuts? Ander persoon onder dwang geld laten opnemen? Tape over de camera?

Beetje creativiteit he...

Maargoed het gaat inderdaad vaak zoals je zegt, als je de pincode hebt en de pas kunt skimmen dan wordt er 1..2..3 een nieuwe pas gekopieerd om in het buitenland geld mee op te nemen (bijvoorbeeld bij mijn broer gebeurd, ineens 3000 euro opgenomen in bulgarije nadat zijn pas geskimmed was bij een NS betaalautomaat).

theeck @Jaap-Jan • 26 januari 2010 14:33

Ehh. met overstorting is een veel hoger bedrag mogelijk dan met opname. En praktisch onmogelijk terug te krijgen.

Webdoc @theeck • 26 januari 2010 13:32

Onzin. als jij kan aantonen dat jij he tgeld niet hebt overgemaakt, en/of het is naar een rekening gegaan waar jij nooit mee hebt gehandeld is de kans heel groot dat ze je de cash terug geven. Mijn online banking is al een keer gehacked (maakte gebruik van een internet terminal ,tja, stom...) en kreeg na 2 weken (en wat papierhandel) netjes mijn cash terug.

Een andere keer in het buitenland vond een pin automaat het leuk om WEL 1000 piek af te schrijven, maar vervolgens crashte het ding en kreeg ik nooit de cash. Ze deden een natelling bij de pinautomaat en ook daar was geen discrepantie. TOCH geld terug gekregen van ABN AMRO...

[Reactie gewijzigd door Webdoc op 22 juli 2024 19:11]

ppl

Beveiliging

@Webdoc • 26 januari 2010 16:30

Helaas zijn er ontzettend veel verhalen waaruit het tegendeel blijkt. Er zijn heel veel mensen waarbij de bank keihard weigert omdat het volgens hun niet hard genoeg is aangetoond. Die situatie was vroeger dermate erg dat er gewoon geen enkele bank was die je geld teruggaf. Die situatie is de laatste jaren sterk veranderd maar er zijn nog altijd uitzonderingen. Het is dan ook geen garantie en men zal zich moeten realiseren dat er het nodige geknokt moet worden om hun geld terug te krijgen. Verhalen als die van jou laten zien dat ze het wel kunnen die banken, ze moeten er alleen eens een keer consistent in worden.

RobertMe @theeck • 26 januari 2010 12:48

En als iemand je telefoon steelt kan hij je ook dwingen om je gebruikersnaam + wachtwoord te geven, dus dat maakt geen verschil.

Als het onder dwang gebeurd, zijn ze beide net zo (on)veilig. Anders is rabobank IMHO veiliger, als je je bankpas kwijt bent, laat je hem meteen blokkeren, als je je telefoon kwijt bent, denk je er niet meteen aan dat anderen zo de gegevens van jouw ING rekening kunnen wijzigen en de codes opvragen.

Soldaatje @XiniX88 • 26 januari 2010 12:17

ABN bedoel je denk ik?
Als die batterij leeg ik kan je hem gaan ruilen voor 8 euro.
Mischien kan je hem zelf openbreken maar kan beveiligd zijn.

The Flying Dutchman @Soldaatje • 26 januari 2010 12:28

De Rabobank werkt met een random reader (ABN ook?). Bij de Rabobank kun je gratis een nieuwe halen als hij niet meer werkt. Is overigens nog maar één keer voorgekomen bij mij.

Persoonlijk ben ik ook wel erg blij met de manier van beveiligen via de randomreader. Het voelt gewoon veilig, ik heb mijn pinpas en mijn pincode nodig. Zoals XiniX88 zegt, als die twee elementen in bezit zijn van fraudeurs/dieven, dan is de zaak toch al verloren. Bij diefstal/vermissing van je pinpas laat je sowieso gelijk je rekening blokkeren.

Enige manier van frauderen die op deze manier nog niet afgedekt is, is via skimmen en je pas namaken (maar ook hiervoor geldt: kan ook bij alle andere banken voorkomen). Daarnaast moet je natuurlijk ook heel goed opletten dat je naar de juiste website gaat voor internet bankieren, maar ook dit zul je bij iedere bank moeten doen.

Anoniem: 140896 @The Flying Dutchman • 26 januari 2010 12:47

Het voelt gewoon veilig, ik heb mijn pinpas en mijn pincode nodig.

Nadeel bij Rabo e.d. is dat je met het random-reader systeem niet controleert dat de begunstigde ook echt de begunstigde is. Als je browser ge-hijacked is, kan hij aangeven dat het naar je beste vriend gaat, terwijl het eigenlijk naar bijvoorbeeld klaas bruinsma gaat.

Met een SMS kan worden aangegeven dat <bedrag> naar <bankrekeningnr> gaat. Dat is in potentie veel veiliger: je hebt zo een extra controlekanaal. Natuurlijk is het dan niet handig om je inloggegevens via sms op te sturen. Mobieltje jatten is dan genoeg.

HarmoniousVibe @Anoniem: 140896 • 26 januari 2010 14:12

Klopt. Dit zou kunnen worden afgevangen door de rekeningnummers in de Random Reader in te laten voeren, net als je voor grote transacties het transactiebedrag in moet voeren.

In principe is het zo, dat alles wat je in de Random Reader / E-Dentifier typt niet te tamperen is, omdat je dan simpelweg een foutieve code krijgt aangeleverd. En alles wat wat je niet in dat apparaatje typt is in theorie te tamperen, omdat dit op geen enkel moment wordt gevalideerd door de de Random Reader (middels de code).

Dit is in mindere of meerdere mate analoog aan de situatie met TAN codes. Alles wat in het SMS'je staat is op zicht te valideren en alles wat er niet in staat in tamperbaar. Het grote verschil is echter dat de integriteit van het SMS-kanaal steeds meer ter discussie komt te staan.

Overigens zet ING alleen het totaalbedrag in de SMS, dus de rekeningnummers zijn net zo goed tamperbaar als bij Rabo/ABN. En bij Rabo/ABN is het in theorie wel mogelijk dit veilig te valideren (invoeren rekeningnummers in Reader) en bij de ING niet echt (onveiligheid SMS). Bovendien zit je met het SMS gebeuren nog met privacy issues: http://jult.net/entry/655/TAN-codes_per_SMS_onveilig.

ppl

Beveiliging

@HarmoniousVibe • 26 januari 2010 16:13

Dat verhaal op die link is nogal ondoordacht. Het is juist wel nodig om het bedrag in het sms'je te vermelden omdat dat nou juist zorgt dat het wat veiliger is. Doordat je EN een volgnummer EN een bedrag hebt kun je ook verifiëren of beide zaken overeenkomen met wat jij op het scherm hebt staan. Zo kun je verifiëren dat je toegestuurde TAN-code correct is. Op moment dat je het bedrag weg laat en alleen met vervolgnummer en TAN-code gaat werken heb je al minder middelen om te vergelijken of het correct is of niet. Verder zijn zowel vervolgnummer als bedrag als TAN-code niet te herleiden naar een individu en een specifieke transactie. Het zijn losse nummers die verder weinig cohesie hebben. Als je zo'n sms'je zou ontvangen dan haal je er niet uit dat E. Jansen voor 39,95 een seksspeeltje bij Christine Le duc heeft gekocht. Je ziet alleen dat er wat codes naar een telefoonnummer gaan en dat er een bedrag van 39,95 wordt genoemd. Je hebt veel meer cruciale informatie nodig om er iets zinnigs over te kunnen zeggen.

Met de redenatie van jou en zoals op die link vermeldt staat is er altijd een privacy issue omdat er gegevens naar een telefoonnummer worden verstuurd. Dat is wel erg schromelijk overdreven.

Overigens zeuren mensen wel over die TAN-codes maar ondertussen zit je met een e-identifier/random reader/etc. met hetzelfde probleem. Je hebt zo'n ding altijd nodig en ze zijn vrijelijk te verkrijgen. Als iemand je dan beroofd hebben ze bij alle banken evenveel informatie/spullen van je. Het probleem is deze wijziging. Dankzij deze wijziging komen cruciale gegevens als username en password ook in het bezit. Men hoeft minder moeite te doen om daar aan te geraken. Andere banken doen dat (nog) niet dus die hebben op dit punt een zeer riant groot voordeel t.o.v. de ING.

PPie @Anoniem: 140896 • 26 januari 2010 13:02

Als je de tan codes van de ING gebruikt, heb je hetzelfde probleem.

Beste zou zijn om op de reader het nummer en hetbedrag in te moeten toetsen en die een code te laten genereren, maar daar wordt het niet makkelijk van...
Op het moment dat je de reader aan de PC hangt om dat te automatiseren, heb je weer het probleem dat de trojan op je PC er dus ook bij kan...

gertvdijk @The Flying Dutchman • 26 januari 2010 12:35

Enige manier van frauderen die op deze manier nog niet afgedekt is, is via skimmen en je pas namaken (maar ook hiervoor geldt: kan ook bij alle andere banken voorkomen). Daarnaast moet je natuurlijk ook heel goed opletten dat je naar de juiste website gaat voor internet bankieren, maar ook dit zul je bij iedere bank moeten doen.

Die chip in je pas is niet te kopiëren, die werkt met een soort challenge-response techniek en zeker niet statische data. Je kan alleen bepaalde data uitlezen als je ook de juiste pincode hebt ingevoerd. De chip bevat zelf een processortje die dus als het ware de 'vragen' beantwoord van een randomreader. Op de chip zelf zit een niet-direct-uitleesbare key die alleen bekend is bij de bank in asymmetrische vorm (PKI signing).
Dit is dan ook een zeer sterke schakel in een beveiligingssysteem onder de noemer "wat je hebt" (die private key op de chip, alleen toegankelijk met pincode).

[Reactie gewijzigd door gertvdijk op 22 juli 2024 19:11]

DexterDee @gertvdijk • 26 januari 2010 12:48

Op de chip zelf zit een niet-direct-uitleesbare key die alleen bekend is bij de bank in asymmetrische vorm (PKI signing).

Op de chip staat een hash van je pincode. Een aantal random readers (o.a. die van de ABN-AMRO) vereisen dat je eerst de pincode van je pasje intoetst alvorens de challenge-response code gegenereerd wordt. Als die verificatie online zou moeten gebeuren middels een PKI verificatie, dan zou de random reader een netwerkverbinding moeten maken en dat is niet het geval.

XiniX88 @DexterDee • 26 januari 2010 13:07

De netwerkverbinding waar jij over praat is een rij getallen die je van de rabobank site moet overtypen om de betaalopdracht alsnog te ondertekenen.

Ook leuk dat ze in geval van die site die leek op de rabobank (hierboven genoemt als trojan, echter werd die alleen gebruikt om de DNS record te verzetten) en andere transacties verstuude, als er zo'n site online is moet je als 2e code ook het bedrag intypen dat je wil overmaken. Er is dus weldegenlijk een controle op dat moment op het precieze bedrag dat je overmaakt, anders klopt de gegenereerde code niet. Dit moet overigens ook bij het overmaken van grote bedragen.

[Reactie gewijzigd door XiniX88 op 22 juli 2024 19:11]

barfieldmv @XiniX88 • 26 januari 2010 13:15

Maar dit word wel leuk 'het' controle getal genoemd en niet SALDO. Dit betekend dat je dus makkelijke en transactie van een paar honderd euro kan injecteren.

johnbetonschaar @barfieldmv • 26 januari 2010 14:50

Maar dit word wel leuk 'het' controle getal genoemd en niet SALDO. Dit betekend dat je dus makkelijke en transactie van een paar honderd euro kan injecteren

Makkelijk?

Als het echt makkelijk zou zijn dan werden er regelmatig rabo rekeningen geplunderd, en dat is niet het geval. Volgens mij is het systeem bijzonder veilig omdat je:

1) via SSL verbinding hebt met de bank, dus in principe niet afluisterbaar
2) pas een SSL verbinding kan opzetten na te zijn ingelogd (ook via de random reader)
3) via die beveiligde verbinding een of meerdere codes doorkrijgt voor elke transactie, welke maar een beperkte tijd geldig zijn en gekoppeld zijn aan jouw rekening en pasje
4) In principe alleen maar iets aan die codes hebt als je ook in het bezit bent van de pas EN de pincode, zelfs een oude pas die niet meer geldig is werkt niet (pasnummer wordt ook gebruikt voor het genereren van de signeercode)

Het saldo van de transactie (dat inderdaad 'controle getal' wordt genoemd) is volgens mij vooral om te voorkomen dat je per ongeluk 2000 euro overmaakt in plaats van 200, niet zozeer voor extra beveiliging, als je al zover bent dat je de controle getallen van de SSL verbinding (of van het scherm) af kunt lezen en ze in kunt toetsen met de juiste pas en pincode, dan maakt het natuurlijk weinig uit wat het getal betekent en hoeveel verschillende getallen je in moet tiepen.

Sowieso is het saldo van de transactie altijd het _tweede_ controle getal, je moet minimaal altijd nog 1 'eerste controlegetal' intoetsen.

Volgens mij kun je het random-reader systeem bijna niet veiliger maken zonder het voor normale mensen onbruikbaar of onhandig te maken. Ik vind het een hele mooie oplossing waar goed over nagedacht is.

[Reactie gewijzigd door johnbetonschaar op 22 juli 2024 19:11]

Pooh @barfieldmv • 26 januari 2010 13:27

Bij de rabobank moet je ter controle, afhankelijk van het bedrag:
- Alleen controlegetal invoeren (gevoelig voor elke man-in-the-middle attack)
- (>1000 euro) Controlegetal+bedrag invoeren (gevoelig voor attack waarbij een rekeningnummer veranderd wordt, maar alleen als andere transacties zo aangepast dat hash+totaalbedrag gelijk blijft).
- (>2500 euro) Controlegetal+bedrag+rekeningnummer invoeren (rekeningnummer van de rekening waar het hoogste bedrag heengaat).

Dat is dus behoorlijk waterdicht. Er staat bij hogere overschrijvingen ook bij dat je het totaalbedrag en het rekeningnummer moet intoetsen, het wordt niet als een willekeurig controlegetal gepresenteert. Wel is de laatste methode aardig omslachtig, vandaar dat het bij kleinere bedragen, waarschijnlijk vanwege klantvriendelijkheid, niet gebeurt.

Eximius @Pooh • 26 januari 2010 14:17

> 1000 is reeds veranderd naar >500
Tenminste dat was vorige week wel het geval toen ik 5zoveel over moest maken.

Petertyuh @Pooh • 26 januari 2010 14:34

En daarom ben ik dus blij dat ik bij de Rabobank zit. Het mag best wel een beetje omslachtig zijn, als het maar veilig is. En de manier van de Rabobank geeft mij een vertrouwd en veilig gevoe (en dat slaapt best lekker).l

Mijn vriendin zit/zat bij ING en ik heb haar 1 keer zien inloggen en betalen en was in 1 keer genezen van mijn idee om over te stappen. Nu ik dit lees zal ik haar toch maar weer eens proberen te laten overstappen. Ik zou niet rustig slapen als ik hier mijn zou hebben staan. Het mag dan wel gebruiksvriendelijk zijn, maar veilig lijkt het me niet.

gertvdijk @DexterDee • 26 januari 2010 12:58

Op de chip staat een hash van je pincode. Een aantal random readers (o.a. die van de ABN-AMRO) vereisen dat je eerst de pincode van je pasje intoetst alvorens de challenge-response code gegenereerd wordt. Als die verificatie online zou moeten gebeuren middels een PKI verificatie, dan zou de random reader een netwerkverbinding moeten maken en dat is niet het geval.

Even voor de duidelijkheid; ik doelde meer op het signen dan de toegang verschaffen (i vs S toets bij randomreader Rabobank)
Ik snap niet waarom je een netwerkverbinding nodig zou moeten hebben. Klant signt code (ingetoetst vanaf website op reader) met de key op zijn pas, de bank kan eenvoudig verifiëren of de response uit de reader hoort bij de key op de pas, aan de hand van asymmetrische of symmetrische encryptie.

Janoz Moderator PRG/SEA @DexterDee • 26 januari 2010 13:09

Een hash van een pincode is compleet zinloos. de 10.000 verschillende mogelijkheden voor een pincode zijn binnen een fractie van een seconde te bruteforcen.

De chip in je bankpas moet je zien als een compleet dichtgetimmerd computertje waar alleen een toetsenbordje en een schermpje aan zit. Je kunt via het toetsenbordje een commando sturen naar de pas en de pas geeft op het beeldscherm vervolgens het resultaat. Er is helemaal geen 'geefPincode' commando. Het enige commando wat er is is dat je kunt vragen of 1234 klopt. Op het schermpje komt dan ja of nee te staan. Na 3x nee volgt er vervolgens een selfdestruct en kun je een nieuwe pas halen.

Goed dat was de analogie. En eigenlijk is dat niet ver van de praktijk. De random reader is namelijk niks meer dan een toetsenbordje en een schermpje dat op het compoortje (de metalen vlakjes op je pasje) van de minicomputer (je pas) aansluit en daar commando's op afvuurt en vervolgens het resultaat op het schermpje zet.

Boudewijn @Soldaatje • 26 januari 2010 12:22

De rabobank heeft ook een token generator, die heet random reader.
Die dingen zijn waarschijnlijk aardig tamperproof: openen gaat waarschijnlijk niet zonder schade, en de ICs zullen onder de epoxy zitten waardoor je ze niet 1-2-3 kunt bekijken (en hun pinnen dus ook niet aflezen met een logic analyser).

miw @Boudewijn • 26 januari 2010 12:48

Die random reader hoeft helemaal niet tamper proof te zijn. De hash code rekent de bank kaart voor je uit. De chip in de bank kaart is inderdaad beveiligd. De lezer is eerder een apparaatje waar geen malware in draait.
Overigens, is ook met dergelijke token generators een man in the middle attack mogelijk.

rvdven @miw • 26 januari 2010 13:16

voor kleine bedragen wel, voor grote bedragen (volgens mij >€1000) wordt het echter lastig, omdat dan het totaalbedrag in de vergelijking van je randomreader moet worden opgenomen.

Nijn @rvdven • 26 januari 2010 14:45

De chip op je kaart rekent alles uit. De sleutels krijgt de random reader nooit te zien. De random reader kun je het beste zien als niets meer dan een toetsenbord en een scherm.

Op misschien een software wijziging om wat onnodige menu itempjes uit te schakelen ofzo na zit ook daadwerkelijk geen speciale informatie in. Sterker nog, al zou je een reader van Fortis gebruiken (zelfde type), dan nog werkt het.

De reden dat ie toch beveiligd is is simpel: Skimming

mgizmo @Nijn • 26 januari 2010 16:29

Sterker nog, al zou je een reader van Fortis gebruiken (zelfde type), dan nog werkt het.

Nee hoor, ik krijg kaartfout als ik mijn Rabobank pas in een Fortis reader (dezelfde als de rabo) stop. Kennelijk is er nog een extra checkje.

elmuerte @rvdven • 26 januari 2010 13:24

Bij nog grotere bedragen moet je naast het totaal bedrag ook nog eens een van de rekening nummers in de transacite meegeven.

JapyDooge @Boudewijn • 26 januari 2010 12:46

Klopt inderdaad, ik heb het eens geprobeert met een oude, openen is undoable. Met een moker en een beitel heb ik m open gekregen

maar dan is de print ook doormidden + dat er ICtjes zitten met een soort lichtsensors oid, zo'n glaasje bovenop.

Maar bij de Rabobank krijg je gewoon gratis een nieuwe als ie leeg/stuk is

divvid @JapyDooge • 26 januari 2010 13:08

wat fijn frees gereedschap is genoeg hoor, zo te krijgen in de bouwmarkt.

Anoniem: 314471 @JapyDooge • 26 januari 2010 15:10

Ik heb em ook wel eens open gemaakt en dat ging prima zonder de problemen die jij noemt.. Moker? Klinkt als Amerikaanse praktijken.. Nee hoor met een schroevendraaier.. maar zit een schakelaar ergens in het midden, als je het contact verbreekt kun je er niks meer mee.. Je kan die dingen inderdaad gratis ophalen bij de Rabo, erg netjes.. Ik heb er 3

1 op kantoor, een thuis en een onderweg..

Ik ga echt nooit naar ING beveiliging liet al te wensen over maar dit is wel heel triest.. Doet me een beetje denken aan:

Bij ons in het dorp hadden 9 mensen telefoon.
De dokter had telefoonnummer 1
De kapper had telefoonnummer 2
Fam Jansen had telefoonnummer 3
Wij hadden telefoonnummer 4
De buren hadden telefoonnummer 5
Fam Joos had telefoonnummer 6
Fam Hansen had een geheim nummer
Fam De Griek had telefoonnummer 8
Fam de Vries had telefoonnummer 9

Herman Finkers

amatoer @Anoniem: 314471 • 26 januari 2010 16:09

Lol, Fam Hansen

GuidoKuitE @Soldaatje • 26 januari 2010 12:22

Die zijn bijna zeker tegen openmaken beveiligd. Kan je wel vrolijk je batterij vervangen, maar dan zal alles gewist zijn (als dat nog niet was gebeurd door een lege batterij en volatile memory)

bartvb

@GuidoKuitE • 26 januari 2010 14:23

Ze zijn prima open te maken, beveiligen van deze readers is ook niet nodig aangezien ze geen spannende info bevatten, er valt niets te wissen.

De readers zijn voor het grootste deel een beeldscherm/keyboard voor de chip op je pas, ze doen zelf vrij weinig. Ik kan probleemloos de reader van mijn vriendin gebruiken of van een willekeurige andere klant van mijn banken.

Wat mij betreft vreemd dat de ING niet overstapt naar een dergelijk systeem ipv vast te blijven houden aan fraudegevoelige wachtwoorden.

Teigetje! @bartvb • 27 januari 2010 08:55

Wat mij betreft vreemd dat de ING niet overstapt naar een dergelijk systeem ipv vast te blijven houden aan fraudegevoelige wachtwoorden.

Dat is gewoon een kosten-baten analyse. Men doet een inschatting van de te vergoeden schade die klanten leiden door fraude vs de investering die men moet doen om die fraude te voorkomen. Als je 50 miljoen moet uitgeven om 40 miljoen te voorkomen dan vergoed men gewoon die 40 miljoen. Dat dat heel vervelend is voor klanten enzo is niet relevant in deze vergelijking. Er wordt dus alleen vanuit de portomonaie gedacht en niet vanuit de klant.

Tukkertje-RaH @Teigetje! • 27 januari 2010 09:58

Het zal ongetwijfeld een kosten-baten analyse zijn, als snap ik de rationale erachter niet helemaal.... De ING/Postbank combinatie is erg vaak in het nieuws gekomen in combinatie met phishing attempts. Zelf bankier ik bij de ABN en heb nog nooit zoiets ontvangen; vermoedelijk omdat de e-dentifier van de ABN niet zo eenvoudig af te vangen is.

Als bank in het nieuws komen omdat je klanten weer benaderd worden door de Russische maffia is publiciteit waar niet een bedrag aan te verbinden is. Als ik ING was zou ik over stappen op 2 factor authenticatie dmv een pas-lezer

hamsteg @Tukkertje-RaH • 27 januari 2010 11:14

> De ING/Postbank combinatie is erg vaak in het nieuws gekomen in combinatie met phishing attempts.

Conclusies trekken moet je wel goed doen en niet op basis van buikgevoel. De combinatie ING/Postbank maakt het voor dieven gewoon aantrekkelijk met ik meen tegen de vijf miljoen aan rekeningen in Nederland. Ook de Rabobank heeft haar problemen wel gehad hoor.

Ik heb beide systemen, reader en TAN en kwa beveiliging ontlopen ze elkaar niets en op basis van het oude systeem van ING is deze een stap veiliger. Inloggen en betalen zijn gescheiden systemen, effectief heb je twee wachtwoorden. Bij de Rabo (en anderen) ben je afhankelijk van een reader maar weet je eenmaal de PIN-code dan is er geen enkel vangnet, effectief heb je hier maar 1 wachtwoord. Wat in het artikel terecht staat is de opmerking over het samenvoegen van deze kanalen. Feitelijk wordt de ING oplossing dan dus duidelijk minder aantrekkelijk, echter als je een goede gebruikersnaam verzint dan zijn ze min of meer vergelijkbaar. De encryptie zelf is in beide systemen dik voldoende al zijn garanties natuurlijk nooit af te geven.

Kwa gebruikersgemak ga ik zeker voor de TAN oplossing omdat ik de telefoon altijd bij me heb en de reader ligt thuis in de la.

BeosBeing @Tukkertje-RaH • 27 januari 2010 15:44

Alsjeblieft geen paslezer. Alles beter dan dat.

CMG @bartvb • 26 januari 2010 15:20

Zakelijke ING klanten hebben wel al een Digipas zoals de SNS dat voor al zijn klanten heeft.

Anoniem: 159387 @GuidoKuitE • 26 januari 2010 13:20

Bij die e-dentifier lukte mij het, je trekt ze zo open, en er zitten twee batterijtjes in, en door ze van plek te verwisselen kan je er nog even mee vooruit.

Jaap-Jan @Soldaatje • 26 januari 2010 12:37

Bij de Rabobank krijg je zonder kosten een nieuwe als de batterij leeg is. Zit bij de kosten in en die bedragen bij mij €7,60 per kwartaal voor een lopende rekening, een spaarrekening en Rabo Interhelp.

En mijn pincode zit gewoon in mijn hoofd. Toen ik hem op papier kreeg heb ik die uit mijn hoofd geleerd en daarna het papiertje verbrand, dus mijn pincode is (behalve in de database van de bank) nergens fysiek meer vastgelegd.

[Reactie gewijzigd door Jaap-Jan op 22 juli 2024 19:11]

barfieldmv @Jaap-Jan • 26 januari 2010 13:16

De bank hoeft ook geen pincode te hebben. Slecht een hashcode van de pincode is genoeg.

arjankoole

Beveiliging
Hackers

@barfieldmv • 26 januari 2010 15:24

De bank hoeft ook geen pincode te hebben. Slecht een hashcode van de pincode is genoeg.

en dat is volgens mij ook precies het enige wat ze bewaren. ( alhoewel het dan wel uitmaakt wat voor salt ze gebruiken, als ze zoiets als md5 zouden gebruiken zou je vrij snel de collisions kunnen detecteren, zoveel mogelijke combinaties bestaan er niet met pin)

Anoniem: 213481 @arjankoole • 26 januari 2010 21:55

Ach, je hebt niets aan die 9.997 collisions aangezien je maar 3 kansen hebt om je pincode juist in te voeren.

i-chat @Soldaatje • 26 januari 2010 12:28

rabo, en ik betaal helemala nergens voor (als ie stuk is of leeg - whatever) ga ik naar de bank en zeg: "doettieniemeer meneeer" en dan krijg ik een nieuwe, ben hem wel 1x kwijt geraakt (dus kon geen oude terug geven, toen kostte het me geloof ik wel een paar euro (maar das logisch. je paspoort is na kwijtraken ook duurder dan na verlopen. )

Gizzy @i-chat • 26 januari 2010 12:56

Paspoort kwijtraken, daar krijg je in ieder geval geen boete meer voor. Je moet nog wel voor een nieuwe betalen. Wat mij betreft wel logisch.

Bij een bank vind ik dat ze die readers ed. wel gratis mogen aanbieden, tot een aantal keer per jaar. Vaker kwijtraken of kapot is misschien verdacht of gewoon slordig? Ze vragen genoeg geld elk jaar voor het gebruik van je bankpas, naast nog eens de kosten voor je CCard.

siepeltjuh @Gizzy • 26 januari 2010 15:45

Ach het versturen van die talloze TAN codes en nu dus ook user/password info via SMS is ook neit gratis, dus het uitdelen van Random readers die voor een dubbie in china worden gemaakt zal vast niet duurder zijn.

Webdoc @Gizzy • 26 januari 2010 13:27

Je krijgt wel degelijk een boete voor een paspoort kwijt raken, weet ik uit eigen ervaring (vorige maand gedaan) - En als je een nood-document hebt gekregen (en daar ook flink voor hebt gedokt) moet dat OOK alsnog bij het aanvragen van een echt paspoort...

musiman

@Webdoc • 26 januari 2010 13:54

@Gizzy
Webdoc heeft gelijk. Je krijgt inderdaad een boete bij kwijtraken. Wat de Overheid echter aan wil passen is de boete wanneer je buiten jouw schuld om je paspoort verliest. Lees dit artikel maar even.

Verder vind ik het een bijzonder kwalijke zaak wanneer een bank, die met zijn product enorm stoelt op het vertrouwen van de klant, klantvriendelijkheid voorrang geeft boven veiligheid. Dát straalt enorm veel vertrouwen uit maar niet heus.

Wellicht een idee om iedereen op te roepen bij de ING weg te gaan en bijvoorbeeld naar de rabobank te verhuizen. (ik ben geen medewerker van de rabo

[Reactie gewijzigd door musiman op 22 juli 2024 19:11]

esrever @i-chat • 26 januari 2010 12:50

Zelfs toen ik hem kwijt was heb ik niets hoeven betalen. Zou op zich wel redelijk zijn geweest natuurlijk.
Later heb ik hem ook nog een keer moeten omruilen omdat de codes niet meer werken omdat de klok in de Random Reader te ver voorliep, dan werkt de code die je krijgt niet meer

Anoniem: 80466 @i-chat • 26 januari 2010 13:27

Ik heb er gewoon 3 van de Rabo.
Telkens 1 gehaald.
Heb ik op verschillende plaatsen toch een calculator

Saven @i-chat • 26 januari 2010 14:08

Hier hoefde ik gelukkig ook niks te betalen nadat ik hem kwijt was geraakt

Toen ik hem had gevonden natuurlijk wel netjes alsnog ingeleverd

Om een of andere vage reden werkte de oude randomreader toen trouwens niet meer, want ik probeerde hem een keer nog uit toen ik hem weer had gevonden.

Tim_bots @Soldaatje • 26 januari 2010 12:37

De (oude) e.dentifier van de abn amro is zo goed als niet beveiligd (althans mij versie). Toen ik de overstap maakte van abn naar de rabobank heb ik voor de gein de behuizing eens geopend.

Toen ik de behuizing weer sloot (wel wat duct-tape nodig om de boel bij elkaar te houden) werkte de reader gewoon weer. Ook was alleen de chip een "zwarte blob", de programmeer pinnen waren gewoon zichtbaar en gelabeld

offtopic:
als de random reader leeg is krijg je gratis een nieuwe

Sorcerer8472

Mobiele netwerken

@Tim_bots • 26 januari 2010 12:50

Waartegen zou hij beveiligd moeten zijn dan? Tegen "chip inbouwen die je later kunt uitlezen"?

Ik zie geen reden om hem verder te beveiligen...

Chappelli @Soldaatje • 26 januari 2010 12:33

ik zit bij de abn toen mijn batterij leeg was ben ik gewoon naar een abnkantoor gegaan en ik kreeg gewoon gratis een nieuwe mee tegen inlevering van de oude. alleen als je hem kwijt raakt moet je denk ik wel betalen maar das ook logisch

Katsunami @Soldaatje • 26 januari 2010 13:18

Vanwege deze wijziging zou ik vanaf de ING overstappen naar een andere bank, als ik daarbij gezeten zou hebben.

Bij de Rabobank krijg je de RandomReader trouwens gewoon gratis. Ik heb er thuis boven een op het bureau liggen. Toen ik vroeg of ik er nog een mocht hebben voor op het werk, kreeg ik die gratis mee. (Ik heb er daar ook een liggen, omdat er hier soms "nu of nooit"-aanbiedingen langskomen die maar 1 werkdag geldig zijn... er zou eens wat interessants tussen kunnen zitten

)

btdr @Soldaatje • 26 januari 2010 13:26

Maar als je deze dan omruilt krijg je tegenwoordig de e-dentifier2. Deze kan je zelf weer opladen via USB.

BeosBeing @Soldaatje • 27 januari 2010 15:42

Tja, en bij mij begint het display van die e-dentifier dus langzaam weg te vallen, totdat je ok-drukt, en dan heb je ongeveer de tijd om de helft van de code te lezen voor het scherm uit gaat.

In ieder geval vind ik inloggen (login-naam is automatisch gegenereerd en cryptisch zoals bij anderen met password gebeurd) en TAN-codes makkelijker, niet een pasje uit de portomonee, en een apparaatre uit de kast plukken en je kunt tenminste ook geld overmaken als je pasje defect (magneetstrip weggesleten) of zoek (gestolen) is.

Als een nieuwe username automatisch voorletter plus achternaam is, is dat natuurlijk niet zo handig.

arie_papa @Soldaatje • 26 januari 2010 16:58

Als je aangeeft dat hij stuk is, krijg je hem zelfs gratis opgestuurd

Boudewijn @XiniX88 • 26 januari 2010 12:18

Nou ja, een TAN is een single-use token. Dat betekent dus dat je het maar 1x kunt gebruiken. Dus een aanvaller kan het sniffen maar er daarna niets meer mee (zolang de tokens 'random' genoeg zijn en hij het volgende token dus NIET kan voorspellen).

Als het gelogd wordt heb je er weinig aan. Eigenlijk is een random reader (die op een tijdsbasis werkt, er is immers geen feedback tussen de server van de bank en je random reader) dan enger

.

Ik zit oa bij de ING en de rabo bank trouwens.

XiniX88 @Boudewijn • 26 januari 2010 12:23

Ik bedoelde het inloggen en bekijken van bankgegevens kon toch alleen met username en wachtwoord? Dat idee vond ik eng. Dus gewoon dat iemand alleen een wachtwoord en username (ik weet niet of ze zelf gekozen mogen worden, zo ja: ze zijn soms vrij voorspelbaar) hoeft in te voeren om al je bankgegevens te ZIEN (niet transacties toevoegen).

Het token idee is een zeer beproeft concept dat te boek staat als zeer veilig. Dit omdat het ook unieke codes zijn die elke minuut weer per pas veranderen. De enige manier om bij de token codes te komen is door gebruik te maken van je pinpas + pincode.

Mijn pincode vind je niet terug in mijn portomonee of in mijn huis (ligt ergens verbrand op de afvalhoop). Overigens RandomReader op bij de rabo = gratis een nieuwe... Ik heb er overigens 2 liggen, kreeg er laatst toen mn pinpas stuk was gratis 1 mee.

Simpel voorbeeld ING beroven:
Het stelen van een handtas (b.v. restaurant) van een vrouw levert ook vaak een portomonnee (pinpas = rekeningnummer, IDkaart = geboortedatum) en een mobiel op.

Even naar de WC, met je PDA het internet op, gegevens versturen et voila. Vervolgens handtas weer netjes terughangen.

[Reactie gewijzigd door XiniX88 op 22 juli 2024 19:11]

jvdmeer @XiniX88 • 26 januari 2010 22:00

Simpel voorbeeld ING beroven:
Het stelen van een handtas (b.v. restaurant) van een vrouw levert ook vaak een portomonnee (pinpas = rekeningnummer, IDkaart = geboortedatum) en een mobiel op.

Even naar de WC, met je PDA het internet op, gegevens versturen et voila. Vervolgens handtas weer netjes terughangen.

Waar haal je dan de gebruikersnaam vandaan ?

kalizec @jvdmeer • 26 januari 2010 23:21

Die gebruikersnaam volgt uit de aanname dat de gebruiker de door de ING voorgestelde gebruikersnaam heeft overgenomen.

En de ING stelt voor "voorletter" + "achternaam".
Dat zal in 80% of meer van de gevallen dus ook wel 123 goed te gokken zijn.

Anoniem: 335189 @kalizec • 27 januari 2010 09:26

Dat klopt niet helemaal. In dit artikel staat dat de gebruikersnaam inderdaad voorletter met achternaam in de meeste gevallen is. Maar zover ik weet krijg je een gebruikers met letters en cijfers door elkaar, dus bijv: di52km5i8. Dat raad je al een stuk minder makkelijk.

De beveiliging vind ik zelf ook twijfelachtig. Aangezien bij alle andere banken een pincode nodig is. Dat is tegenwoordig toch wel bijna het enige van mij waar niemand achter kan komen.(A)

@hamsteg: misschien moet je mijn reactie nog een keer opnieuw lezen.

[Reactie gewijzigd door Anoniem: 335189 op 22 juli 2024 19:11]

hamsteg @Anoniem: 335189 • 27 januari 2010 11:29

Huh, is dit omgekeerde wereld?

Dus het raden van: di52km5i8 is makkelijker als: 1234 ?

Een goede gebruikersnaam is een wachtwoord op zich. Gecombineerd met nog een echt wachtwoord dan zou je zelfs kunnen beargumenteren dat de random reader onveiliger is want als invoer is er altijd een constante (het pasnummer) en een kleine pincode (ik weet het, de pasnummer en rekeningnummer worden ge-time-hased). De cross-check middels TAN gedraagt zich dan als een derde wachtwoord.

Beide systemen hebben hun sterke en zwakke punten. We maken ons echter druk om compleet de verkeerde dingen. Hoevaak is effectief geld van de rekening gehaald door het raden en kraken van gegevens? Antwoord: 0 !

De problemen, diefstallen, die worden toegepast hebben bijna allemaal een relatie met betalingen aan kassa's; een paar fishing websites hebben hier en daar ook eenmalig wat gescored maar dit komt door de slordigheid van de gebruiker en niet van het beveiligingssyteem. De kassa problematiek is tegenwoording vaak het Skimmen maar nog net zo vaak het eenvoudig kunnen verkrijgen van de pincode (opschrijven, niet afschermen in een rij) en het stelen van een pas.

Dit artikel is belangrijke feedback naar de techneuten en experts bij ING maar voor ons als eindgebruikers zo klein dat je je beter druk kunt maken over het oversteken van de weg.

Pb Pomper @XiniX88 • 26 januari 2010 12:30

Ik had een keer een nieuwe Random Reader nodig en toen werd mij geadviseerd er gelijk een paar extra mee te nemen. Ze hadden gewoon een berg van die dingen liggen. Geen probleem.

Anoniem: 156329 @Boudewijn • 26 januari 2010 12:40

Tenzij de aanvaller al toegang heeft tot je PC (virus,trojan,hacken) dan denk jij dat je 100 euro overmaakt naar tante sjaan terwijl de aanvaller met gemak de invoervelden van internet explorer kan veranderen naar: 2000 euro en een rekening nummer in *verwegistan*.
Er zullen genoeg hackers en virusmakers zijn die hier wel brood in zien, zolang er maar makkelijk geld te verdienen is.

En dat zonder dat je het doorhebt, totdat je het bankafschrift bekijkt.

Bij de rabobank heb je de extra veiligheid dat je niet zonder pinpas en reader kunt inloggen of overboeken, en dat bij het overmaken van hoge bedragen het bedrag ter controle ook ingevuld moet worden op de random reader.

Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens.

Het wordt tijd dat de ING ook met de tijd meegaat.
Of moet er eerst grootschalig misbruik van gemaakt worden?
Las net de reactie van PPie en vind dit een veel veiligere methode.

@Azzmodan:
Je hebt gelijk het bedrag kun je niet zomaar zonder dat het opvalt aanpassen.
Wat wel mogelijk is om een virus te maken wat in IE het rekening nummer bij het overschrijven veranderd, en daarna in het rekeningoverzicht ook het rekening nummer veranderd.
Is eigenlijk heel simpel kwestie van een paar regels html code vervangen.
Helemaal als je geen papieren afschriften hebt kom je hier pas achter als tante sjaan, of bv een koper van marktplaats klaagt dat hij het geld nog steeds niet heeft ontvangen.

Ik denk dat onder andere jongeren hier kwetsbaar voor zijn, geboorte datum is met paar klikken op hyves te vinden. En 80% van de jongeren klikt zonder twijfel bij alle vensters op ja en accepteren omdat ze geen zin hebben om het te lezen en klikken op alles wat via MSN binnenkomt waardoor de PC vaak binnen no-time vol staat met virussen, trojans en malware.
En vaak moeten de ouders ook op de familie PC hun bankzaken regelen.

Heb het vaak genoeg ook meegemaakt dat goedgelovige mensen mij vragen hoe ze die 100 dollar voor hun XP antivirus 2009 moeten betalen

[Reactie gewijzigd door Anoniem: 156329 op 22 juli 2024 19:11]

Azzmodan @Anoniem: 156329 • 26 januari 2010 12:50

"En dat zonder dat je het doorhebt, totdat je het bankafschrift bekijkt"

Dat kan niet bij de ING, op het moment dat je namelijk de betaling moet bevestigen krijg je een SMS met daarop het bedrag en de code als daar ineens een bedrag van 2020 of 2000 euro staat in plaats van 20 weet je dat er wat mis is.

Janoz Moderator PRG/SEA @Anoniem: 156329 • 26 januari 2010 13:01

Bij elke betalingsopdracht die hoger is dan (ik dacht) E1000 of E500 moet je (bij de rabobank) als controle getal ook een keer het totale bedrag invullen. Op dat moment zie je heel duidelijk dat je 2000 gaat overmaken ipv 20.

PPie @Boudewijn • 26 januari 2010 13:04

Probleem van de tan codes is dat er een heleboel phishing mails (Of trojans) vragen om een aantal codes in te vullen 'om in te loggen'.
Tevens is een probleem natuurlijk dat iedereen die kan aflezen van het papier.
Als je een reader hebt, moet je je pincode intoetsen...

reefclaw

@PPie • 26 januari 2010 13:25

Dat probleem bestaat alleen met de papieren lijsten, en niet met de sms versie.
Dit is al bij het programma kassa. En daar is een uitgebreid onderzoek naar geweest.

PPie @reefclaw • 26 januari 2010 14:01

Maar moet je je pincode intoetsen voor je telefoon?
Weer het voorbeeld van een kastje in het zwembad, je krijgt dus je username, wachtwoord en je tan codes op de telefoon, die je samen met je identificatiebewijs (Met je geboortedatum!) die iedereen verplicht bij zich heeft, in 1 kastje opbergt als je gaat zwemmen en dus enige tijd niet terug komt!

-Sander1981- @PPie • 27 januari 2010 14:15

Telefoon kan ook een pincode hebben, dus wanneer de telefoon word aangezet (als je je telefoon in een locker hebt liggen zet je hem uit, niet?) vraagt deze om een pincode...

Overigens vind ik het ook nog steeds een veiliger idee om mijn nieuwe wachtwoord (bij kwijtraken) op te halen bij het postkantoor...

[Reactie gewijzigd door -Sander1981- op 22 juli 2024 19:11]

roy-t @Boudewijn • 26 januari 2010 12:35

Er is wel feedback tussen je reader en de bank, je moet eerste een code invoeren in de reader (krijg je van de website) voordat je een access token terug krijgt.

Titusvh @XiniX88 • 26 januari 2010 14:34

Waarschijnlijk een stuk goedkoper zo dan al dat papierwerk via het postkantoor. Ik vind dat hele TAN code gebeuren sowieso al een raar gedoe, installeer een keylogger op een PC en je hebt inloggegevens waarmee je leuk alle betalingsverkeer kan inzien (daarvoor had je toch geen TAN nodig?).

De TAN is pas nodig als je overboekingen gaat doen.

Ik vind het vele malen erger als iemand mijn geld kan wegboeken dan dat iemand mbv een keylogger door mijn afschriften bladert...
Dus die TAN vind ik best zinvol!

Mr_gadget @XiniX88 • 26 januari 2010 21:18

En het ergste is nog wel dat ze dit als een verbetering van de service weten te verkopen

Ik ga zeker geen internetbankieren nemen van ING

Azzmodan @Boudewijn • 26 januari 2010 12:52

Ik vind het zelf erg prettig werken om een SMS te krijgen met de code, mijn mobiel heb ik tenslotte altijd bij me terwijl een gizmo zoals bij de ABN niet altijd bij mij is.

Het SMSen van de login vind ik wel weer erg knullig, ik snap dat de gebruikersvriendelijkheid nu niet zo hoog is maar dan kunnen ze nog beter een brief sturen dan het sturen naar het apparaat dat je ook nodig heb om de betaling te bevestigen.

s.stok @Azzmodan • 26 januari 2010 13:02

Vroeger was het zo dat je gebruikersnaam kreeg, en daarna per aangetekende post je wachtwoord.

Toen hebben ze het veranderd dat je naar het postkantoor moest komen.

Als je het wachtwoord per aangetekende post verstuurt met identificatie plicht zoals dat nu wordt gebruikt als je bij Hi! online een mobieltje besteld dan is dat ook prima beveiligd.

En als je het helemaal veilig wilt hebben stuur je ook nog een aparte brief met activatiecode code om je nieuwe wachtwoord actief te maken.

OT: Ik roep iedereen op die hier tegen is een bericht Trosradar of Kassa te sturen!

BeosBeing @s.stok • 28 januari 2010 12:20

Vroeger was het zo dat je gebruikersnaam kreeg, en daarna per aangetekende post je wachtwoord.

Beide via post, wel aparte brieven, met enkele dagen verschil, maar niets aangetekend volgens mij. Wel dacht ik nog een éénmalige activatiecode, ook weer per niet aangetekende brief. Alles ontvangen binnen 2 of 3 dagen achter elkaar.

Postkantoor lijkt beter, maar is opgeheven, dus ook geen optie meer.

s.stok @Boudewijn • 26 januari 2010 12:29

"Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens. ."

Nee echt, dit kan niet

Eerst die problemen met dat Mijn Postbank het steeds niet deed en nu dit?
Hebben ze eindelijk EV om phissing tegen te gaan zetten ze de deur alsnog op!

Dat is net zo iet als: een stalen duur met lazer beveiliging, maar 2 cijferige pincode..

Serieus als dit erdoor heen gaat komen ga ik met bij de ING

Ik heb de voormalige Postbank als particulier en ING zelf voor me zakelijke rekening, maar als dit er ook komt voor de zakelijke klanten vrees ik het ergste.

Choraii @Boudewijn • 26 januari 2010 14:52

Ja, een nog al heel erg naieve reactie, niet te geloven

S0epkip 26 januari 2010 12:13

Moraal van het verhaal: vergeet je username en password niet!

Van de Looy adviseert ING-klanten om, als het nieuwe beleid ingaat, hun portemonnee en telefoon nooit samen op te bergen. "Huur bijvoorbeeld twee kluisjes, een voor je telefoon en een voor je portemonnee."

Dat gaat in de praktijk ook bijna niemand doen natuurlijk...

[Reactie gewijzigd door S0epkip op 22 juli 2024 19:11]

gertvdijk @S0epkip • 26 januari 2010 12:17

Moraal van het verhaal: vergeet je username en password niet!

Het gaat erom dat een evil persoon kan doen alsof jij je wachtwoord kwijt bent geraakt. Als het werkelijk zo is dat jij je wachtwoord vergeten bent is er niets mis met dit systeem, hoor, maar dat wordt dus onvoldoende gecontroleerd in deze nieuwe procedure en is een van de zwakke punten ervan.

StefSybo @S0epkip • 26 januari 2010 12:18

Dat helpt natuurlijk niet, want een dief kan je username en password ook opvragen als jij het niet vergeten bent

Soldaatje @S0epkip • 26 januari 2010 12:20

Ik onthou mijn passwords helemaal niet, daar heb ik lastpass voor.
Edit: ik deel hem toch niet? Is toch prive (hopelijk).

[Reactie gewijzigd door Soldaatje op 22 juli 2024 19:11]

gertvdijk @Soldaatje • 26 januari 2010 12:48

Ik onthou mijn passwords helemaal niet, daar heb ik lastpass voor.

Als je bedoelt dat je ze opslaat in je password manager is dat verboden in de (nieuwe) voorwaarden. Gebruikersnaam, wachtwoord en TAN-codes mag je niet (meer) digitaal opslaan (, delen, openbaar maken, etc.).
Daarnaast maakt dat het natuurlijk nog onveiliger; je hoeft niet eens meer de procedure te volgen om een verloren wachtwoord op te vragen. Jij heb ze gewoon opgeslagen dan.

[Reactie gewijzigd door gertvdijk op 22 juli 2024 19:11]

Maxxi 26 januari 2010 12:11

Tja..
Ik heb me in de afgelopen jaren regelmatig behoorlijk geergerd als ik weer eens 5+ dagen moest wachten..

Dit lost het wel op :-)

Edit: ING vergoed btw wel een hoop vormen van faude.

[Reactie gewijzigd door Maxxi op 22 juli 2024 19:11]

Drucchi @Maxxi • 26 januari 2010 12:18

nou om heel eerlijk te zijn heb ik liever dat als ik mn inloggegevens kwijt ben, dat ik dan 5 dagen moet wachten, dan dat iedere idioot die er met mn mobiel en pas vandoorgaat, mn bankrekening kan plunderen. Kan me niet schelen of ING me dan terugbetaalt, die procedure duurt waarschijnlijk toch langer dan 5 dagen....

en nog een tip voor de mensen die hun inloggegevens kwijtraken: zorg dat je ze altijd helemaal zelf in moet vullen, zodat je ze na een tijdje uit je hoofd weet!

En als ING dit wil gaan doorvoeren, ga ik serieus overwegen een andere bank te zoeken, tenzij ze me gewoon weer terug kunnen zetten naar een papieren lijst met TAN-codes...

[Reactie gewijzigd door Drucchi op 22 juli 2024 19:11]

jona @Drucchi • 26 januari 2010 15:37

Als ik de ING site lees staat er duidelijk dit:

Gebruikersnaam en/of wachtwoord aanvragen voor Mijn ING

Het opnieuw aanvragen van uw inloggegevens wordt vanaf maart 2010 eenvoudiger. U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden. Daarnaast kunt u als u TAN-sms gebruikt een nieuw wachtwoord ontvangen per sms-bericht.

Het sms-bericht ontvangt u op uw mobiele telefoon waarvan het nummer geregistreerd staat in Mijn ING. U kunt vervolgens binnen 30 minuten inloggen met uw gebruikersnaam en het nieuwe wachtwoord. Dit nieuwe wachtwoord wijzigt u direct.

Met andere woorden: alleen je wachtwoord kan eventueel via sms worden doorgestuurd. Dan weet de dief nog steeds niet je gebruikersnaam en kan niet even snel je rekening plunderen. En je gebruikersnaam is niet standaard en dus niet te raden. Dat geeft je genoeg tijd om je nummer te blokkeren en nieuwe codes aan te vragen. Een toevallige dief kan dus niet even snel je rekening plunderen, maar huisgenoten zouden dat eventueel wel kunnen.

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@jona • 26 januari 2010 15:41

En je gebruikersnaam is niet standaard en dus niet te raden

Onzin, je gebruikersnaam kun je zelf kiezen, en er is (was iig) geen reden om niet gewoon voornaam+achternaam te kiezen als gebruikersnaam. Je gebruikersnaam is ook niet iets dat veilig en niet te raden hoeft te zijn, daar heb je je wachtwoord voor. Nee, dat zeg ik verkeerd, daar hád je je wachtwoord voor

[Reactie gewijzigd door .oisyn op 22 juli 2024 19:11]

BeosBeing @.oisyn • 28 januari 2010 12:28

Nee, ik kon mijn gebruikersnaam destijds niet kiezen, wel het wachtwoord.

Drucchi @jona • 26 januari 2010 22:49

Op de ING site staat het dus nog vereerd, aangezien er uit je quote te halen is:

U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden.

Maar naar aanleiding van de update, voel ik me toch weer iets veiliger, aangezien ik nog steeds mijn oorspronkelijk gekregen gebruikersnaam gebruik, die met een wachtwoordgenerator lijkt te zijn aangemaakt....

(inderdaad wel zinloos dat je gebruikersnaam, opeens je naam niet meer kan zijn omdat iemand die kan raden, en op een andere manier aan je wachtwoord zou kunnen komen.)
Het idee vind ik nog steeds erg vervelend; Iemand die je, op wat voor manier dan ook, berooft, kan aan je wachtwoord komen van je internetbank-account

-> hier sluit ik me dus helemaal bij aan:

Je gebruikersnaam is ook niet iets dat veilig en niet te raden hoeft te zijn, daar heb je je wachtwoord voor. Nee, dat zeg ik verkeerd, daar hád je je wachtwoord voor

[Reactie gewijzigd door Drucchi op 22 juli 2024 19:11]

.oisyn Moderator Devschuur®

Hackers
Beveiliging

@Drucchi • 26 januari 2010 15:16

tenzij ze me gewoon weer terug kunnen zetten naar een papieren lijst met TAN-codes...

Dat kun je gewoon instellen hoor.

IStealYourGun @Maxxi • 26 januari 2010 12:29

Er bestaan al veel veiliger en beter (en comfortabelere) beveiligingen op de markt.
Bijna alle Belgische banken gebruiken hier One-time passwords en de enkele gevallen van van "diefstal" zijn te wijten aan onbeveiligde PC's met met een trojan.

BeosBeing @IStealYourGun • 28 januari 2010 12:31

Mensen in NL denken graag dat België achterloopt, en op sommige punten is dat mischien ook zo, maar er zijn wel degelijk ook punten waar Nederland achter loopt en België voorop. Dit is er zoeen, net als dat het Belgische Mutualiteitensysteem beter is als het Nederlandse ziektekostenverzekerings-systeem.

TERW_DAN @Maxxi • 26 januari 2010 12:31

Edit: ING vergoed btw wel een hoop vormen van faude.

Maar als het op een of andere manier zo is dat jij verwijtbaar bent of zou kunnen zijn is de kans op uitkering gelijk al een heel stuk kleiner. Daarbij, je blijft met de ellende zitten, als je rekening geplunderd wordt op deze manier moet je zelf behoorlijk wat moeite doen om alles weer recht te zetten. Dat lijkt me geen prettig vooruitzicht.

Janoz Moderator PRG/SEA @Maxxi • 26 januari 2010 13:14

Weet je wat nog makkelijker is, gewoon die TAN-code bende opdoeken. Of wacht... Waarom de hele tijd dat wachtwoord moeten onthouden.

Ik stel voor om gewoon een formuliertje te maken waarbij je een bedrag, een rekening 'van' en een rekening 'naar' en eventueel een omschrijving. Dat is lekker gebruikersvriendelijk en hartstikke makkelijk.

[/sarcasm]

[Reactie gewijzigd door Janoz op 22 juli 2024 19:11]

erikdenv @Maxxi • 26 januari 2010 12:18

Hoe vaak komt zoiets voor, ik heb nog maar één keer een account aan hoeven vragen.

Relief2009 26 januari 2010 12:20

Wat een gezeik allemaal. Wat doe je als je mobieltje en pas gestolen is? Dan blokkeer je gewoon de toegang tot je pas + internetbankieren.

Ik zie het probleem niet zo. Als iemand je creditcard heeft gestolen, ben je ook de lul.

Allemaal paniek, omdat dit bericht zegt dat je in paniek moet raken. Denk eens eerst voor jezelf na.

[Reactie gewijzigd door Relief2009 op 22 juli 2024 19:11]

frankvdtillaart @Relief2009 • 26 januari 2010 12:37

Want bij jou gaat er een signaal af zodra je je telefoon en portemonnai kwijt bent?

En dan bel je de bank met... geen telefoon?

In de tussentijd is je rekening natuurlijk al lang leeg gehaald.

xtra @Relief2009 • 26 januari 2010 12:41

Credit cards zijn dan ook fraude-topper en ze zijn daarmee niet voor niets overgestapt op pincode's zodat weer wordt voldaan aan 'iets hebben en iets weten'.

Rannasha @Relief2009 • 26 januari 2010 12:44

En wat als je er pas een uurtje later achter komt? In die tijd kan de dief al een nieuw username/password hebben opgevraagd en je rekening hebben geplunderd.

Feit is dat dit nieuwe systeem een flinke stap achteruit is in de veiligheid van je rekening. En dat is best droevig.

DataGhost

@Relief2009 • 26 januari 2010 12:51

Tot het moment dat het wat minder ging in je relatie en je rekening geplunderd werd terwijl je lag te slapen.

marking

@Relief2009 • 26 januari 2010 13:13

Hoe zeg je dat op als beiden gestolen zijn? Als de dief een 3G telefoon heeft kan die je rekening geplunderd hebben in 10 minuten nadat hij je spullen heeft gejat.

En omdat je dus je phone kwijt bent hoe bel je de bank dan zo snel?
Als hij beiden zou jatten heeft ie je bankpasje, en that's it.
Ookal heb je SMS tancodes aanstaan, hij kan niks. Je gebruikers naam en wachtwoord zijn voor hem onbekend!

Dit geeft je veel meer tijd om te reageren en je ban kte bellen om de boel dicht te gooien.

questo 26 januari 2010 12:14

Waarom kan ING de logingegevens niet naar het postadres van de rekeninghouder sturen. Dat is net zo goed te onderscheppen maar dan blijven in ieder geval de twee beveiligingskanalen in tact.

Echter, als ING de klantvriendelijkheid zo hoog in het vaandel heeft, dan gaan ze toch gewoon met een token generator zoals de Rabo Random Reader werken. Dan ben je gelijk van die onhandige TAN-codes af.

Erwin_Br @questo • 26 januari 2010 12:32

Echter, als ING de klantvriendelijkheid zo hoog in het vaandel heeft, dan gaan ze toch gewoon met een token generator zoals de Rabo Random Reader werken. Dan ben je gelijk van die onhandige TAN-codes af.

Alsjeblieft niet! Mijn mobiel heb ik altijd bij me, in tegenstelling tot zo'n Random Reader. En als de batterij leeg is op een ongelegen moment is dat zeer vervelend. Mijn vader heeft pas geleden zijn 3e reader omgeruild bij de Rabo, omdat het kreng weer eens kuren vertoonde.

silentsnake @Erwin_Br • 26 januari 2010 14:57

Alsof je echt zo vaak buiten de deur je bankzaken moet regelen. Wees realistisch, als er echt zo een spoed is dat je opeens je bankzaken moet regelen als je niet thuis bent kan je net zo goed naar een Rabobank naar binnen lopen voor die enkele keer dat het gebeurt. Ik zit al jaar en dag bij de Rabobank en ik ben alleen maar blij met het random-reader concept, en kan mij absoluut ook niet vinden in jouw verhaal. Ik wil uit principe kwestie niks met m'n mobiel doen voor m'n bankzaken. Het feit dat er een antenne aanhangt en dat er allerlei instanties meekijken vind ik al reden genoeg om geen financiele inlogcodes op te ontvangen.

Jaap-Jan @Erwin_Br • 26 januari 2010 12:56

Ik zit ook aan mijn 3^e, maar dan wel in 6 jaar. En als hij kuren gaat vertonen, is dat een teken dat de batterij op is.

Eskimootje @questo • 26 januari 2010 12:18

Nog een betere beveiliging, combinatie van nieuw wachtwoord naar huisadres, vervolgens een nieuwe code per sms en dan pas inloggen.
Dat betekend dat je en 1 a 2 dagen hebt om te merken dat je je telefoon kwijt bent en niemand met alleen je envelop kan inloggen op internetbankieren.
Hoe moeilijk kan het zijn?

Erkens @questo • 26 januari 2010 12:22

Onhandige TAN-codes? Ik vind dat juist een enorm voordeel dat je niet je altijd een aparaat moet meenemen als je even op je werk ofzo een ideal transactie wilt doen. Gewoon een SMS met de code (en extra bevestiging van het bedrag) geen gezeur: dus niet onhandig, maar handig

jona @questo • 26 januari 2010 12:24

Als iets onhandig is, vind ik dat wel een tokengenerator. Die moet je overal bij je hebben om in te loggen plus je bankpas. TAN codes zijn juist heel gebruiksvriendelijk omdat je altijd kan inloggen zonder hulpmiddelen en voor betalingen heb je alleen je telefoon nodig voor de TAN code.

Maar met gebruiksvriendelijkheid kun je inderdaad doorslaan. Een vergeten wachtwoord/login komt per gebruiker weinig voor, dus dat kun je beter veilig afhandelen. Het is ook de eigen schuld van de gebruiker dus waarom dat dan te makkelijk maken? Nu kan iemand denken: Maakt niet uit, als ik hem vergeet kan ik hem binnen 2 minuten weer opvragen.

Janoz Moderator PRG/SEA @jona • 26 januari 2010 13:19

Die moet je overal bij je hebben om in te loggen plus je bankpas.

Je hebt in principe een punt, maar bedenk dat de tokengenerator gewoon uitwisselbaar is. Ikzelf heb er een paar (1 in mijn werktas, 1 thuis bij de computer) en vaak is er op kantoor altijd wel iemand die er 1 bij zich heeft. Ik heb tot nu toe iig altijd wel een token generator kunnen lenen wanneer ik er 1 nodig had.

i-chat @questo • 26 januari 2010 12:37

username via sms- en een password via de post (in een wenskaart - handgeschreven oid...

met de grootjes uit (de hel waar uw banktegoeden nu ook zijn, TOEDELS )

Op dit item kan niet meer gereageerd worden.

Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update

Lees meer

IT-banen

Reacties (348)

Sorteer op:

Weergave: