Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 230 reacties
Submitter: robertwebbe

ING heeft applicaties uitgebracht voor de mobiele besturingssystemen Android en iOS. Klanten van de Nederlandse bank kunnen daarmee via hun smartphone of tablet geld overmaken, of het saldo op de bankrekening bekijken.

ING applicatie AndroidDe software voor Android is te downloaden vanuit de Market van het OS, terwijl voor de iPhone en iPad naar de iTunes-winkel wordt verwezen. Met de applicaties is het mogelijk om geld over te maken, saldo te checken en de recente betalingshistorie te zien. Voor de iPhone zijn daarnaast nog een aantal andere applicaties beschikbaar, zoals een app voor het bekijken van beurskoersen, of studiefinanciering. De ING-software is in alle genoemde gevallen gratis te downloaden.

ING is niet de eerste bank die met een applicatie voor mobiele besturingssystemen komt. De Rabobank heeft al een internetbankieren-applicatie voor Android en iOS. Gebruikers hebben echter in veel gevallen wel hun Random Reader nodig, waardoor alleen de smartphone of tablet niet voldoende is om geld over te maken. ABN Amro heeft een vergelijkbare app voor Android, iOS en BlackBerry. ING werkt met tan-codes die naar de telefoon worden gestuurd, waardoor gebruikers aan hun telefoon of tablet genoeg hebben.

Moderatie-faq Wijzig weergave

Reacties (230)

1 2 3 ... 8
Bij de ING is het zo, dat als je je gebruikersnaam en wachtwoord vergeten bent, ze je een brief sturen met daarin die informatie. Ben je echter alleen je wachtwoord vergeten, sturen ze die op via sms als je je gebruikersnaam invult. Toen ik de website nog gebruikte op mijn mobiel, kon je gewoon de optie aanvinken onthoudt mijn gebruikersnaam. Als je dan ook nog de site in je favorieten zet maak je het voor iemand die je telefoon 'vind' wel heel makkelijk om achter alle nodige informatie te komen. Voor je deze app kunt gebruiken moet je bij het opstarten iedere keer een 5-cijferige code invoeren, wat het opzich al veiliger maakt vind ik.

[Reactie gewijzigd door multifive op 8 november 2011 15:16]

Maar als je al via je mobiel of je computer gebruik maakt van mijn ING, dan ga je dat toch niet op laten slaan? Ik vind dat echt de goden verzoeken hoor. Dan moet je ook niet daarna gaan klagen dat de beveiliging slecht is. Ik heb meerdere logins en heb er geen problemen mee om die zaken te onthouden. En nu met de mobiele app wordt het nog wat simpeler om de bankzaken te doen.

Heb ook even feedback ingestuurd voor de volgende punten:
- adresboek kunnen gebruiken voor overmaken. De meeste zaken die je overmaakt, en vaker, sla je namelijk op in je adresboek en dan zou het niets makkelijker zijn als je dat kan selecteren.
- overmaken van en naar spaarrekeningen gekoppeld aan de betaalrekeningen
- iets met zakelijk zodat deze via 1 app te beheren is. Of ze moeten een zakelijke app toe gaan voegen, maar dat lijkt me wat overdreven.

Nu voor de eerste versie heb je 4 knoppen waarvan er in principe 3 overbodig zijn. Demo kijk je een keer. Feedback kan je ook nog ergens anders in een submenu plaatsen. Dan zou je mooie de grote iconen kunnen gebruiken voor de verschillende logins. Je voegt een "rekening" toe of eigenlijk voeg je een toegangsportaal toe naar een mijn ING login. Deze kan je dan in je app zelf voorzien van een naam zodat je dat kan herkennen. Bijvoorbeeld een tag Prive voor de prive rekening en Zakelijk voor jawel zakelijk.

Klik je dan op een van die 2 grote buttons dan krijg je voor die specifieke "mijn ING" login je mobiele pincode die je per "mijn ING" in moet stellen en je bent denk ik klaar. Dan kan je zoveel rekeningen toevoegen die je wilt en je hebt het allemaal mooi in 1 app beschikbaar! Moet te doen zijn lijkt me en dan is ING weer helemaal de bom :)
ING werkt met tan-codes die naar de telefoon worden gestuurd, waardoor gebruikers aan hun telefoon of tablet genoeg hebben.
Tweakers.net zou er goed aan hebben gedaan de app eerst eens zelf te proberen. De ING-app werkt niet met TAN-codes, maar met een 5-cijferige mobiele pincode. Die pincode voer je zowel bij het starten van de app in als wanneer je een overschrijving doet. Een TAN-code wordt alleen gebruikt om een bevestigingscode te genereren bij het eenmalig aanmelden voor de app. En dat gebeurt dan weer op mijn.ing.nl.
Volgens mij doelen ze bij dit gedeelte van de tekst niet op de apps van Rabo en ING, maar op het internetbankieren via de website. Dan klopt het wel en daardoor was een app niet zo heel belangrijk voor ING.

Ik ben toch blij dat ze een app hebben gemaakt, want de pagina wilde bij mij op mijn HTC Sensation niet altijd even goed laden. Mijn oude Sony-ericsson X1 kon helemaal slecht met die pagina overweg. Die zag alle onderdelen als frames en probeerde alles in een 2,8" scherm te proppen met scrollbalken er tussen. Resultaat was daar dan ook onleesbaar.
Een waardevolle toevoeging zou zijn dat je via mijn.ing.nl de toegang tot mobiel direct kan ontzeggen. Op die manier beveilig je jezelf als je je telefoon kwijtraakt. Als je je pinpas verliest laat je deze ook direct blokkeren.

Wel is dit natuurlijk iets veiliger dan de pinpas, aangezien je voor een pinpas aan 4 cijfers voldoende hebt, heb je er met de app 5 nodig.
App maar even decompilen en de code nalopen....

Verder werkt app best goed en duidelijk. maar de zwakheid zit hem als iemand de bankieren app ingesteld heeft. Je hebt uiteindelijk maar de mobiel en de 5 cijferige pincode nodig om transacties te doen.

Wie weet bestaat er zelfs een manier zonder de mobiel te kunnen doen en alleen maar de 5 cijvige pincode nodig te hebben.

[Reactie gewijzigd door Lupo1989 op 8 november 2011 21:11]

Ooit al eens een pin pas gebruikt? Dat is precies het zelfde verhaal.

Alle oplossingen waar bij je met een paar cijfertjes een bank account leeg kunt halen zonder dat er andere methodes nodig zijn om je te identificeren als rechtmatige eigenaar van de account zijn een gevaar voor de houder van het account.

Mobiel bankieren is leuk en aardig maar wat is het nut er van? Niemand die verstandig met zijn of haar geld om gaat heeft zo veel volatiliteit op zijn of haar bankrekening dat het nodig is om onderweg je banksaldo te moeten controleren of een betaling uit te voeren die echt niet langer kan wachten...
De enige reden dat banken aan dit soort belachelijke dingen mee doen is omdat het nu eenmaal in de mode is maar verstandig is het absoluut niet. En op de lange termijn zijn klanten hier echt niet mee geholpen.
Het is weldegelijk 2 factor omdat je geverifieerd word voor je de applicatie kan downloaden en aan jouw account kunt koppelen. Dus factor 1 is iets wat je hebt net zoals een bankpas of een creditcard. In dit geval is het alleen software en ligt de koppeling met je account als het goed is volledig in handen van de ing, net zoals een bankpas of creditcard kunnen ze die op elk moment blokeren. De 2e factor is iets dat je weet. Bij een bankpas is het een pincode van 4 cijfers hier is het een code van 5 cijfers. Alleen pincode is dus onzin tenzij jij het normaal vind je pas aan iedereen te geven die het vraagt of in dit geval je mobiel. Als dat zo is zou ik echter misschien niet deze app gebruiken.

Die app is dus niet zomaar aan een andere bankrekening te koppelen, maar is specifiek voor jouw mobiel en voor jouw account. Bij de ING is ook de eigendom van de sim al gekoppeld en geverifieerd met je identiteit, in dit geval komt ook je mobiel en de specifieke app daarbij.

Dus met of alleen iemand anders mobiel kun je niks en met alleen een pincode ook niet.
Net als met een bankpas, waar je EN de pas EN de pincode nodig hebt. Als je je mobiel kwijtraakt moet je net als je bankpas dit wel zo snel mogelijk melden en word het geblokkeerd, maar een dief kan er pas wat mee als hij ook je pincode heeft.
Ik wil zeker geen afbraak doen van je argument, want ik ben het grotendeels met je eens dat er relatief veel risico's zijn bij deze vorm van mobiel bankieren, maar zoals je zelf al aan geeft, het zelfde geld voor je pin-pas. In beide gevallen is het noodzakelijk een object te verkrijgen (pinpas/telefoon) en in beide gevallen is tenminste een x-cijferige code nodig. Dat dit systeem kan werken voor de 99% van de mensen zonder fraude laat de pinpas zien.

Mijn enige echte kritiekpuntje is dat er wel degelijk een use-case is voor de app. De hele samenleven versneld in het algemeen met elke generatie, en zo gaat dat ook nu, vooral jongeren zie ik via telefoons 'dat ene biertje' even overmaken of andere kleine onderlinge transacties. Omdat NFC telefoons nog niet echt beschikbaar of populair zijn, is het waarschijnlijk dat meer en meer mensen microtransacties gaan doen via hun mobieltje, niemand wil meer met geld op zak lopen, en waarom zou je?

Persoonlijk vind ik dan weer het gevaar dat er dus een API van ING rondzweeft nu 'ergens' en dat via een emulator op een pc makkelijk te herleiden is naar een server, en hoe je 't nu ook went of keert, er is nog geen beveiliging in de IT ooit 100% gebleken. Ik vind ook niet dat je de aanname kan doen dat dat ooit het geval zal zijn. Maar ook hier, hoe veel mensen 'help' je met het aanbieden van een app/api, en hoe veel mensen zijn hiervan procentueel de klos? Er zal vast mee geklooid gaan worden, en het zal vast ook een paar keer lukken om de ING voor schut te zetten, net zoals de andere geldboeren.

[Reactie gewijzigd door crashmatrix op 8 november 2011 20:27]

Ik zie zelf ook geen voordeel aan mobiel bankieren, maar vind de applicatie wel degelijk handig. Hij toont snel mijn huidige saldo, en dat is als student zijde handig! Er was al een saldo-checker applicatie voor ING die gebruik maakt van de ING-buddy op het msn netwerk, maar was altijd tergend traag tijdens het updaten van het saldo en de af en bijschrijvingen.

Het zou mooi zijn als ING je de mogelijkheid geeft de betalings-functie te deactiveren. Zo kan je snel kijken wat je saldo is, en of er overboekingen. Zonder dat je het risico loopt ten prooi te vallen van mogelijke mallware.

Wat mij net ook al is opgevallen, je logt niet automatisch uit als je het scherm weg klikt. Hij blijft op de achtergrond ingelogd, je moet handmatig op afmelden klikken en pas dan vraagt hij opnieuw naar de vijf cijferige pincode om in te loggen.
Ik zie zelf ook geen voordeel aan mobiel bankieren, maar vind de applicatie wel degelijk handig.
Mee eens, het lijkt me ook erg handig om mobiel je saldo te checken, maar ik ben nogal huiverig voor de brakke beveiliging van dergelijke applicaties. De voordelen wegen mi niet op tegen de nadelen en daarom blijf ik voorlopig gewoon mijn random reader gebruiken.
Het is altijd een afweging tussen veiligheid en gebruiksgemak. Saldo checken moet voor mij snel kunnen gaan. Als ik het saldo voor mijn Belgische ING rekening wil checken op de website, heb ik 4!!! codes nodig. Als ik dat soort beveiliging wil, zet ik mijn geld wel op een Zwitserse rekening. Een identificatiecode (met aanvinkoptie om te onthouden) + een code is voor mij even veilig/onveilig als je bankkaart. Dus al die andere codes die het alleen maar lastiger maken om aan te loggen, heb ik niet nodig.
Stukken beter dan de oude ING-buddy app waar je alleen maar een hoop nummertjes zag, maar ook idd een stukje minder veilig.
Dat wordt dus de oude tan-lijst of een tweede telefoon. Of zo'n telefoon die twee virtuele telefoons in een is, hehe.
Mij logde hij net uit. Misschien zit er een korte periode op zodat je niet steeds de code in hoeft te vullen als je even switched.
Mobiel bankieren is leuk en aardig maar wat is het nut er van?
Ooit wel eens in de winkel gestaan en je afgevraagd hoeveel er nog op je rekening staat en je de producten in je karretje kunt afrekenen? Hiervoor is dit toch echt wel handig. Daarnaast, bij een te laag saldo, direct van de ene naar de andere overmaken zodat je toch met je karretje vol de winkel uitkan is ook wel handig.
Maar je kunt weer niet bij je spaarrekeningen. Dat zou nu net handig zijn geweest voor als je te weinig saldo hebt.
Schijnt in een volgende versie te komen. Las net iemand die riep dat het in de beschrijving staat?
nee, eigenlijk nog nooit.
Ik zorg gewoon dat er altijd wat geld op de rekening staat.
als het boven de §1000,- uitkomt gaat het naar de spaarrekening...
Mobiel bankieren is leuk en aardig maar wat is het nut er van? Niemand die verstandig met zijn of haar geld om gaat heeft zo veel volatiliteit op zijn of haar bankrekening dat het nodig is om onderweg je banksaldo te moeten controleren of een betaling uit te voeren die echt niet langer kan wachten...
Als je op vakantie bent is het misschien wel handig. Of als je net zoals ik een rekening in Nederland hebt, maar in het buitenland woon en werk.
Ik zorg er bijvoorbeeld voor dat op mijn betaal rekening maar een paar honderd euro staat, en dat op mijn spaar rekening mijn volledige bedrag staat. Als ik dan eens wat meer moet pinnen dan kan ik via de mobiel geld overmaken.
Of er gewoon voor zorgen dat ik voldoende geld op mijn betaal rekening heb staan ivm afschrijving van de credit card.

In alle gevallen hoef ik niet een internet cafe in te lopen om geld over te maken, en mijn mobiel is over het algemeen veilig dan een computer in een dergelijk cafe.

Ik zou dus zeggen, genoeg redenen voor een dergelijk applicatie.
Via mobiel kan je ook naar mijn.ing.nl browsen, en zover ik kon zien kan ik via deze applicatie NIET bij mijn ING (studenten) spaarrekening.
Dat werkt iig bij mij voor geen meter. als ik een rekening aanklik om er iets mee te doen wil mijn Android telefoon of iPad dat als nummer gaan bellen, dat schiet dus niet op. Een dedicated app doet dat hopelijk beter.
Download n andere browser, Opera bijvoorbeeld;)
Spaarrekeningen komen in een volgende versie, lees de beschrijving bij de app eens!
Je woont en werkt in het buitenland maar je hebt nooit een normale computer of laptop tot je beschikking om even een keer wat geld over te maken?

Ik vind trouwens een internetcafe goed genoeg om geld over te maken, zo vaak gedaan in het buitenland. Ten eerste moet je al inloggen met je wachtwoord op de site via SSL. En dan nog je telefoon mee en via de SMS komt de TAN code binnen. En als je klaar bent wist de internetcafe software automatisch de history. En als je de browser sluit logt ING sowieso automatisch al uit.

Dat vind ik altijd nog een veiliger gevoel dan deze app met alleen een 5-cijferige pincode. Daarmee ben je altijd online dus als ze je telefoon vinden hebben ze alleen 5 cijfers nodig. En dat is minder dan een normaal wachtwoord en een TAN van 6 cijfers... Dus ik begin juist niet aan deze mobiele app.
Ik vind trouwens een internetcafe goed genoeg om geld over te maken, zo vaak gedaan in het buitenland.
Dan ben je misschien niet vaak in landen geweest waar het niet zo vanzelf sprekend is dat internet cafe's alles zo goed regelen. (Ik zelf woon in Ecuador)
Natuurlijk heb ik hier wel een computer tot mijn beschikking, maar als ik op weg ben dan is het handig als ik dat via de mobiel kan doen, en niet via een en of ander vaag internet cafe, en ja, die heb je hier genoeg dat je denkt... Liever even niet binnenstappen.

Gezien dat zo'n beetje heel Nederland een of meerdere keren op vakantie gaat, kan ik me dus prima voorstellen dan een dergelijk app een mooie aanvulling is op het gewone bankieren.
Bij verblijf in dergelijke landen lijkt het me des te meer aan te raden je zaken vooraf zo te regelen dat je die meuk niet zo vaak nodig hebt. Sowieso, in NL gebruik ik ibanking maar sporadisch omdat ik gewoon weet wat er ongeveer op mijn rekening moet staan. Ik weet wat er binnenkomt en wanneer de vaste klanten komen loothen. Ik weet ook mijn eigen verbruik. Weinig verrassingen dus, ik gebruik het alleen als check, en meestal zit ik goed :)
Totaal geen behoefte aan een mobiele check, laat staan dingen als overmaken. Als je zaken goed plant is zelfs in de meest achterlijke landen nog wel een verbinding te vinden die veilig genoeg is voor dit soort basale dingen. De rest had je thuis al moeten regelen.
Mag ik jouw 4 cijferige pincode lenen? Samen met alleen je bankpasje geef ik je een veilig gevoel als ik die voor je bewaar ;)

ps, normaal ga ik er niet op in, maar waarom is het irrelevant dat Slingeraap2 5 cijfers en een voorwerp onveilig vind, maar zelf een pinpas zal hebben en gebruiken met 4 cijfers beveiligd. In mijn opzicht uitermate relevant omdat 5 cijfers tot wel 10 keer veiliger kan zijn.

[Reactie gewijzigd door RwD op 9 november 2011 08:15]

In dit geval liggen alle gegevens in je mobiel. Ik pak die gevens via een trojan en your powned.

Met bankpasje gaat dat anders. je hebt een bankpas en code die een persoon bij zich draait. Deze twee gegevens liggen appart van elkaar. Bij mobiel liggen ze bij elkaar.

[Reactie gewijzigd door Lupo1989 op 8 november 2011 21:12]

Als een trojan zomaar de keyboard input van deze app kan afluisteren zit er of een probleem in de app of een probleem in het os, dit zou afgeschermd moeten zijn.

Echter de code die een persoon bij zich draagt is in dit geval gewoon gelijk hij staat niet opgeslagen op je mobiel, maar net als bij een geldautomaat worden ze voor een transactie samengebracht. Met mini-camera's of andere methode word de code ook in die gevallen soms afgeluisterd/afgekeken. Je mobiel is in dit geval dus net zo waardevol als je bankpas en moet je gewoon niet afgeven. Blokkeren bij verlies of diefstal gaat in beide gevallen even makkelijk en snel.
Omdat ik me smartphone meer vertrouw dan de computer van iemand anders om mijn bankieren op te doen (genoeg mensen die jou geen kwaad willen doen maar hun computer gewoon niet veilig hebben). Als ik dus uit huis ben voor langere tijd en ik moet wat overmaken is dit toch een mooie uitkomst. Misschien is het voor jou niet nodig (voor mij ook niet echt denk ik want ik heb zelden dat ik met haast wat moet overmaken) maar ik kan me goed voorstellen dat er mensen zijn die hier wel belang bij hebben. Het maakt contant geld ook weer wat overbodiger voor een snelle betaling :)
De code lijkt per apparaat gebruikt te worden, ik heb de app nog een keer geinstalleerd op mijn tablet en toen moest ik opnieuw een pincode invoeren. Dus die pincode hoort bij het apparaat waar de app op staat, zo lijkt het althans. Daarnaast kent de app een limiet van 1000 euro per dag, meer overmaken gaat niet.

Er bestaat natuurlijk altijd gevaar, maar zoals anderen ook opmerken heb je daar met een normale pinpas + code ook last van. Er zijn genoeg mensen die het tancode systeem van de ING niet veilig genoeg vinden, ik vind het zelf prima en heel makkelijk.
Klopt, er wordt een RSA-keypair gegenereerd wat samen met de PIN (en mogelijk device-specfieke parameters) vereist is voor succesvolle authenticatie. Enkel shouldersurfen om de PIN te bemachtigen is dus niet voldoende, een aanvaller zal ook toegang moeten hebben tot je device (fysiek of een remote backdoor).
Maarja hoe komt iemand anders aan mijn 5 cijferige code? Zolang daar een max aantaal foutive pogingen aan hangt is dat nog behoorlijk veilig.

[Reactie gewijzigd door watercoolertje op 8 november 2011 15:17]

Ook erg jammer dat er op de website totaal geen informatie te vinden is over op welke manier ze ervoor zorgen dat de app veilig is (behalve het verhaal over de 5-cijferige pincode).
Zou het erg prettig vinden als de ING openbaart of er encryptie in de verbinding wordt gebruikt (en liefst zo ja: welke), of er nog een mogelijkheid is voor 2-factor authenticatie (bijvoorbeeld pasnummer invoeren bij overboeken/inloggen).

Verder is het bij de Rabobank maar mogelijk om een maximumbedrag over te maken, en dan alleen naar mensen waarnaar je de afgelopen x-periode ook al naar geboekt hebt.

En wie zegt mij dat het niet, net zoals bij WhatsApp, mogelijk is om bij het eerste gebruik de activatie over te nemen mocht je verbonden zijn via wifi?

Het ruikt mij teveel naar security through obscurity...
Nou ik heb net even met Wireshark gekeken, de verbinding is beveiligd met TLSv1.

Verder lijkt het mij ook een goed idee als je de mogelijkheden van de app kunt beperken, bijvoorbeeld door alleen geld over te kunnen maken naar bepaalde bekende rekeningen. Nu is het iets te makkelijk om een keyboard app te maken die je wachtwoord afluistert en al je geld overmaakt naar iemand anders.

[Reactie gewijzigd door Manu_ op 8 november 2011 15:56]

Daarom gebruikt de app ook z'n eigen ingebakken keyboard en niet die van het systeem voor inloggen.
Op niet-jailbroken iOS devices draaien apps allemaal netjes in hun eigen sandbox. Dus tenzij een heel fundamenteel beveiligingsprincipe van iOS onderuit gehaald wordt is het niet mogelijk voor een andere app om mee te kijken bij de ING app, laat staan input events af te luisteren...
jailbraken is mogelijk. Is dat fundamenteel genoeg voor je?
Een jailbreak toepassen doe je bij volle bewustzijn en met de wetenschap dat je de beveiliging van je iPhone (mogelijk) in negatieve zin schaadt.

Dus als je de gevaren niet zelf opzoekt (lees: jailbreaken) ben je gewoon veilig.
Ergo, argument van likmevestje ;)

[Reactie gewijzigd door JanvdVeer op 8 november 2011 20:17]

Dat is niet helemaal waar. Een aantal jailbreaks worden geÔnstalleerd door een PDF file te downloaden die vervolgens code execution rechten regelt via een fontlibrary exploit en daarna root escalation via een andere exploit.

Iemand kan dus ook heel goed een ongeupdate iPhone jailbreaken zonder dat de eigenaar dit merkt via diezelfde gaten. Sterker nog, je kunt prima een windows virus maken dat vervolgens als payload via iTunes iPhones gaat jailbreaken (zie Stuxnet voor iets vergelijkbaars).

De sandbox is bedoeld om applicaties binnen te houden. Hij is *niet* bedoeld om malicious code *buiten* een app te houden.
Als ze sommige keuzes gewoon aan de gebruiker laten was jailbreaken ook niet nodig.
Een gebruiker die dit soort apps op een jailbroken telefoon met van internet gehaalde software gebruikt is er natuurlijk helemaal zelf bij als daar rotzooi van komt.
Het artikel vermeld als nadeel van de Rabobank dat je daar je random reader nodig hebt. Rabobank heeft het veel slimmer gedaan: je hebt de random reader alleen nodig als je voor het eerst naar een rekeningnummer iets overmaakt. Je kan dus met de basis inlogcodes alleen transacties doen naar bekende rekeningnummers. Zoiets zou bij de ING ook kunnen, maar het nadeel is dat de TAN codes over de telefoon lopen. Mooi gescheiden, maar nu niet meer dus...
Zou het erg prettig vinden als de ING openbaart of er encryptie in de verbinding wordt gebruikt
Zelfs de meest onschuldige gegevens gaan bij een bank al over een encrypted verbinding heen. Denk je nou echt dat ze deze app over een on-veilige verbinding zouden sturen?

Ze zijn bij banken heus niet achterlijk :)
Zelfs de meest simpele fora gebruiken hoofdletter gevoelige wachtwoorden, waarbij ING dat voor zijn internet bankieren blijkbaar ook niet noodzakelijk vind.

Enige achtergrond informatie over de applicatie kan nooit kwaad, al is het maar om mensen een gerust gevoel te geven.
Sinds een maand of twee zijn wachtwoorden bij ING wel case-sensitive.
Ik kreeg 24-8-2011 deze mail van ing n.a.v. een vraag van mij over case sensitivity bij ww.
De beantwoording van uw e-mail is vertraagd. Onze excuses hiervoor.

In uw e-mail uit u uw zorgen over de veiligheid van Mijn ING. U refereert naar een nieuwsbericht hierover op de website tweakers.net. U vindt het onveilig dat uw wachtwoord voor Mijn ING niet hoofdlettergevoelig is. Wij geven graag onze reactie op uw e-mail.

De ING stelt hoge eisen aan de veiligheid. Daarom past de ING diverse beveiligingsmethodes en -technieken toe. Uitgebreide informatie vindt u op de algemene site over veiligheid van de Nederlandse Vereniging van Banken: http://www.veiligbankieren.nl

De internetomgeving van Mijn ING is beveiligd. U kunt deze beveiliging herkennen aan de letters ‘https' aan het begin van het webadres. Daarnaast ziet u in de internetbrowser een veiligheidsslotje, wat betekent dat u veilig contact heeft met de ING. Wanneer u dubbelklikt op het slotje ziet u dat deze afkomstig is van mijn.ing.nl.

Zelf kunt u ook een aantal maatregelen nemen om de veiligheid van uw computer en de verzonden informatie te verhogen. De volgende maatregelen kunt u hiervoor nemen:

- Accepteer geen onveilige items in uw beveiligde omgeving. Het bestand ‘cab.cax' kunt u wel accepteren. Deze wordt u door ING N.V. aangeboden bij de eerste inlogsessie. Andere bestanden kunt u weigeren door op ‘nee' te klikken.
- Controleer altijd of u zich in een beveiligde omgeving bevindt (u ziet een slotje onderin uw scherm).
- Controleer of er 'https' in het webadres staat. Deze ziet u bijna boven in het scherm van uw browser. De ‘s' staat voor 'secure' (‘beveiligd').
- Controleer of het adres begint met ‘https://mijn.ing.nl/internetbankieren/'.
- Wijzig regelmatig uw wachtwoord en/of gebruikersnaam.
- Maak nooit het wachtwoord en/of de gebruikersnaam aan anderen bekend.
- Bewaar uw gebruikersnaam en wachtwoord altijd gescheiden.
- Gebruik geen onveilige wachtwoorden, zoals een geboortedatum, Betaalrekeningnummer, voor- of achternaam.
- Maakt u gebruik van TAN-codes via sms, controleer dan altijd of het volgnummer in het sms-bericht overeenkomt met het volgnummer in Mijn ING.

- Wachtwoord
Het wachtwoord van Mijn ING is inderdaad niet hoofdlettergevoelig. Wij hebben hiervoor gekozen, omdat het vaak voorkomt dat klanten per ongeluk ‘Caps Lock' activeren of vergeten waar de hoofdletters in het wachtwoord zitten. De gebruikersnaam is wel hoofdlettergevoelig, omdat bij het invullen te zien is welke tekens u invoert.

Wij hebben uw klacht met betrekking tot de hoofdlettergevoeligheid geregistreerd in onze administratie. De ING heeft Mijn ING ontwikkeld aan de hand van zoveel mogelijk wensen van de gebruikers. Bij de ontwikkeling van een volgende versie nemen wij ook uw wensen in overweging.
dat is raar.... want toen ik 2 jaar geleden internetbankieren heb genomen. was ik VERPLICHT een wachtwoord met kleine en hoofdletters, cijfers, en een vreemd teken te gebruiken.
Onzin. Je hebt altijd case-insensitive in kunnen loggen. De gebruikersnaam is wel altijd case sensitive geweest, het wachtwoord niet.
Je hebt altijd in-case-sensitive kunnen inloggen terwijl je wachtwoord case-sensitive was... Dit geldt in ieder geval voor de omzettingen van vorig jaar oktober/november.

Dat staat er dus ook :X

[Reactie gewijzigd door SWINX op 9 november 2011 00:54]

@Maarten00
Heb ik zeker een andere ING dan jii,het wachtwoord is nog steeds niet case-sensitive .
Heb dit al maanden geleden (toen ik het ontdekte) aan ING doorgegeven en heb er nooit meer iets over gehoord.
Typo

[Reactie gewijzigd door Thav881 op 8 november 2011 16:40]

Absoluut onwaar dat het wachtwoord al 5 jaar case-sensitive is! Heb met en zondder hoofdletters altijd kunnen inloggen afgelopen 5 jaar en zeker nog tot 2 maanden terug getest.
Of het NU nog zo is, tussen 2 maanden geleden en heden, heb ik nog niet getest.
Wat ik nog het meest verbazingwekkend vind is dat de ING de optie 'onthoudt mij op deze computer' bij het inloggen aanbiedt...
Alleen de naam hoor. Niet je wachtwoord of je sessie...
Je hebt de telefoon, en als je op wachtwoord vergeten klikt, moet je het telefoonnummer, het pasnummer en geboortedatum e.d. invullen. Als je van iemand de telefoon en portomonee steelt (als die in een tas van b.v. vrouw zitten, kan dat makkelijk), heb je meteen toegang tot de rekening, en de TAN-code die wordt gestuurd naar, juist ja, je telefoon.
En daarom weet iedereen dat als je je (telefoon en) portemonee kwijt raakt METEEN contact op moet nemen met de bank/creditcard maatschappij om alles te laten blokkeren.

Het is een samenspel tussen gebruikersvriendelijkheid en beveiliging. Maak het heel betrouwbaar en veilig en niemand zal de app gebruiken omdat het te ingewikkeld is. Maak het te makkeljjk en dan heb je weer een beveiligingsprobleem.

Bovendien, jij hebt op je telefoon toch wel minimaal een wachtwoord beveiliging? of kan iedereen die met je telefoon vandoor gaat alles bekijken?

In mijn geval (mede door bedrijfspolicy) moet je elke keer dat je je telefoon van de standbij haalt een code intoetsen. Doe je dat 3 keer (of 5 keer) fout, worden alle accounts en bijbehorende data verwijderd. De keerzijde hiervan is dat je een collega kan hebben die doodleuk probeert om in je telefoon te komen door 3 keer de foute code op te geven. NIET GRAPPIG!!!

zoals ik al zei, samenspel tussen gebruikersvriendelijkheid en beveiliging :)
En dan heb je nog toegang nodig tot mijn ING. Tenzij je je inlognaam en wachtwoord ook in je tas hebt zitten natuurlijk....
correctie:
"Onthoud mijn gebruikersnaam op deze computer"
Ik heb het net even gecheckt omdat ik er niks van geloofde, maar het is inderdaad waar! Ik gvd maar elke keer klooien met hoofdletters enz en het boeit niet eens...

Binnenkort maar eens een boze brief naar de ING sturen en anders overstappen want dit is echt heel erg knullig.
Sinds vorige maand hanteren ze wel verplichte hoofdletters in je wachtwoord voor internetbankieren als je een nieuw wachtwoord aan moet maken.
Kan je je de Sony PSN hack nog herinneren? Verhalen kwamen naar boven van (ontslagen) ontwikkelaars dat in de startfase van PSN je creditcards over 'http' verbindingen binnenkwamen...
Dus ja, als een bedrijf als Sony zo achterlijk is dan -kunnen- banken dat ook zijn.
Omdat Sony betrouwbaarder is als een bank natuurlijk want bij Sony zijn ze al veel langer dan bij banken gewend met vertrouwelijke gegevens om te gaan...oh...wacht.
De app geeft middels een "hangslot-iccontje" aan dat er een beveiligde verbinding wordt gebruikt.
Zie zelf het resultaat welke security ze gebruiken: http://pastebin.com/i7McrBnR
Citaat: "SHA1withRSA", "AES"
-phishing
-trojan app
-man in the middle
Man in the middle wordt lastig tussen een beveiligde verbinding.
Man in the middle wordt lastig tussen een beveiligde verbinding.
Klopt, maar dan alleen als er direct met een https/SSL verbinding connectie wordt gemaakt. Als je naar http://mijn.ing.nl/ gaat wordt je doorverwezen naar https://mijn.ing.nl/. Die eerste handshake is nog niet gecrypt en kan dus met een MitM aanval/snoop worden aangevallen, waarbij de MitM dan als dubbele proxy gaat werken (jouw browser valideert tegen de MitM en ING zit vervolgens aan de andere kant).
Sterker nog, zelfs een SSL verbinding kan op deze manier gecompromitteerd worden, mits de MitM een geldig certificaat heeft.

[Reactie gewijzigd door Rick2910 op 8 november 2011 19:52]

Dat geldige certificaat heb je sowieso nodig, ook als je werkt met zo'n redirect, om in de adresbar te krijgen a) https://mijn.ing.nl en b) een slotje.

Daarnaast heb je voor beide methodes nodig dat je de DNS onderschept. Of op je op https://mijn.ing.nl komt met een redirect of door het direct in te typen maakt voor MitM niet uit.

Een slotje en "https://mijning.nl" bijvoorbeeld, of mij.ning.com, etc.etc., zal er met of zonder http-redirect op neerkomen dat je DNS moet compromitteren of de hele lijn. Het verschil is dat je met volledige controle over de lijn maar zonder een geldig certificaat wel vanaf http://mijn.ing.nl/ kan intercepten en gewoon niet naar ssl gaan, of naar een vergelijkbare site waar je wel een cert voor hebt, maar dat je dat niet kan doen als je eerste request al naar ssl is, je krijgt dan nl meteen de foutmelding van een untrusted certificaat/geen certificaat.
Dat dachten ze bij DigiNotar ook.
Het zijn 5 cijfers
Dus een kans van 1 op 100.000 om het te raden, aangezien de code na 1 keer fout al ongeldig is en er een nieuwe beveiligingscode moet worden aangevraagd.
Als je de beveiligingscode verkeerd intypt bij activatie moet het opnieuw. Je 5 cijferige pincode mag wel meer dan 1 keer fout worden getypt voordat hij blokkeert.
Zeg dan meteen 3x...
Als je app wilt registreren op het begin heb je 6 cijfers nodig jha. maar namate je wilt inloggen en je in- en uitgavens wilt zien moet je er maar 5 cijfers hebben. Zelfs voor transacties heb je er dan maar 5 cijfers nodig. En daar ligt het gevaar na mijn mening.

[Reactie gewijzigd door Lupo1989 op 8 november 2011 21:13]

Als je app wilt registreren op het begin heb je 6 cijvers nodig jha.
Echter wordt die sleutel van 6 cijfers pas gegenereerd nadat je deze hebt aangevraagd via internetbankieren. Dus heb je ook toegang tot iemands account nodig...

En na het foutief invoeren van de 5-cijferige code, moet je deze opnieuw aanvragen, waarvoor je wederom toegang nodig hebt tot iemands account.

[Reactie gewijzigd door kramerty88 op 8 november 2011 15:28]

Als je app wilt registreren op het begin heb je 6 cijFers nodig jha.
:'(

edit:
oh help ik zie nog veel meer fouten (als je dyslectisch bent sorry, dan ben je bij deze vergeven)

[Reactie gewijzigd door henri8096 op 8 november 2011 16:19]

ik wil niks zeggen hoor maar op de site kun je ook met een gebruikersnaam en wachtwoord gewoon inloggen.
maar geen transacties doen.... daar heb je tan code voor nodig. Bij mobiel app heb je geen tan code nodig voor transacties. Je hebt alleen de 5 cijvigere pincode nodig.

[Reactie gewijzigd door Lupo1989 op 8 november 2011 15:41]

eeh.... en die krijg je weer binnen op je mobiel (mits je niet de papieren versie gebruikt). Dus betalen etc. kon al, je moest alleen naar de site browsen.
Ik kan met alleen mn poinpas en 4 cijfers geld van mn rekening halen. Wat is het probleem met een systeem dat 5 cijfers EN een fysiek object vereist?
Je zal net als bij de rabobank waarschijnlijk nog iets van tan codes / random reader nodig hebben voor grotere bedragen.

Bij de rabobank mag je kleine bedragen overmaken. Iets grotere als ze in je adresboek staan. En anders heb je toch je randomreader nodig.

Daarnaast is alles te hacken het is dus maar hoeveel de bank garandeert dat jij je geld gewoon houd.
Je zal net als bij de rabobank waarschijnlijk nog iets van tan codes / random reader nodig hebben voor grotere bedragen.
Je hebt geen TAN-code nodig om geld over te maken. Als ze je code weten ben je de lul. Daar staat tegenover dat er uiteraard wel een maximumbedrag is wat er overgemaakt mag worden.
Maar dat is nu net het probleem bij ING. Daar wordt gewerkt met TAN-codes. Bij iedere transactie wordt een SMS gestuurd met daarin de TAN-code van de transactie. De beveiliging is dus dat een kwaadwillende en over de inloggegevens van het slachtoffer moet beschikken, en de SMSjes op het mobiel van het slachtoffer moet kunnen zien.

Maar bij een mobiele app werkt die bescherming niet. Immers, de SMSjes worden gestuurd naar dezelfde mobiel waar de app draait. TAN-codes bieden gewoon geen aanvullende bescherming.
Er wordt bij deze mobiele app juist niet gewerkt met de TAN codes. Heb zojuist gekeken op de ING website. Voor deze app moet je een 5 cijferige pincode verzinnen, that's all.

Ik ga het zelf dus maar niet doen. Heb geen zin om naast mijn normale inloggegevens ook nog een 5-cijferige pincode te moeten gaan onthouden.
Bij de ABN zitten er ook een extra beveiligingen ingebouwd onder andere;
  • Je kan alleen geld overmaken naar rekening waar je de afgelopen x aantal maanden geld naar hebt overgemaakt
  • Je kan een limiet instellen voor het max bedrag dat overgemaakt mag worden
Op deze manier sluit je in iedere geval kwaadwillenden uit omdat je waarschijnlijk nog nooit geld naar deze personen hebt overgemaakt.
En je sluit ook meteen de meeste usecases uit. Handig.
Ik gebruik het regelmatig om even wat van mijn spaar naar mijn reguliere betaalrekening of vrouwlief over te maken bijv. facturen en andere zaken zit je toch al voor achter je PC. Ben het daarom niet per definitie met je eens.
Skimmen bestaat al jaren hoe moeilijk is het nou om even te spieken wat de gebruiker welke toetsen invoert bij zijn tel ?
Waarom moet ik meer gegevens voor dit ding invullen als met mijnING?
Verder werkt app best goed en duidelijk. maar de zwakheid zit hem als iemand de bankieren app ingesteld heeft. Je hebt uiteindelijk maar de mobiel en de 5 cijferige pincode nodig om transacties te doen.
De bankkaart werkt erg goed en duidelijk, maar de zwakheid zit hem erin dat: Je uiteindelijk aleen maar de bankkaart en de 4-cijferige pincode nodig hebt om iemands bankrekening te plunderen

8)7
Hmm.. niet voor mij besteed (ten eerste symbian...)

Geen pin code op mobiel alleen blokkeer code (is gemakkelijk te raken/tegen broekzak bellen)
Tan-codes naar mobiel.. -_-".
Gewoon ergens telefoon laten liggen en inloggegevens opgeslagen in app == problemen...
Misschien moet je, samen met de ongefundeerde reacties boven je, eerste de app eens uitproberen. Hieronder even een beschrijving hoe de beveiliging bij de eerste keer opstarten gaat :

1. Vul je rekeningnummer in
2. Vul je pasnummer in
3. Vul de geldigheidsdatum van je pas in
4. Vul je geboortedatum in

5. Ga naar https://mijn.ing.nl/ en log in.
6. Klik op Mobiel, en vervolgens op volgende
7. Vul de TAN code die naar je vooraf ingestelde mobiele nummer wordt gestuurd in
8. Vul de code die je vervolgens te zien krijgt in in de app
9. Kies een persoonlijke 5 cijferige code in de applicatie.

Vervolgens kan je alleen met die 5 cijferige code de applicatie in. Die code kan je de applicatie niet laten onthouden.

Ik zie het probleem niet helemaal.. Alleen als je iemand anders je mobiel geeft, en diegene weet die pincode (die met 5 cijfers veiliger is dan de code van je pinpas) kan die iets met de applicatie doen. Maar als jij je pinpas aan iemand geeft, samen met je pincode, geld hetzelfde.

Met andere woorden, de applicatie is veiliger dan je pinpas.

[Reactie gewijzigd door Ch3cker op 8 november 2011 15:55]

Dat geeft inderdaad problemen, maar dat zijn dezelfde problemen als je pinpas met daarop je pincode geschreven ergens laten liggen. De mogelijkheid om inloggegevens op te laten slaan in deze app lijkt me dan ook zeer onwenselijk.

Wat ik zo op de ING site lees is dat voor de eerste activatie een hele reeks gegevens nodig is (rekeningnummer, nummer van je Betaalpas, tot wanneer je Betaalpas geldig is en je geboortedatum), daarna wordt er gewerkt met een 5 cijferige inlogcode.
Gewoon ergens telefoon laten liggen en inloggegevens opgeslagen in app == problemen...
Dan moet je dat niet doen he (inloggegevens opslaan als je verder geen beveiliging hebt) :P

[Reactie gewijzigd door watercoolertje op 8 november 2011 15:21]

damn kan die app niet installeren, omdat ik in duitsland woon. Dit terwijl ik wel een ING NL rekening nog heb lopen...
Kan je het dan ook niet downloaden met Itunes (waar je wel een NL account hebt), daarna syncen met je iphone?
het is mij gelukt inmiddels door mijn NL sim erin te doen via wifi naar de android store te gaan en dan de app te downloaden.

nu zie ik hem ook op mijn duitse sim maar dat komt waarschijnlijk omdat ie installed is.

wat me ook opviel is dat je een klein filter hebt bij de zoekrsultaten. die op all zetten hielp bij mij
Het lijkt erop dat ik de app niet op een android device en iPad tegelijk kan draaien. of/of dus ... op de iPad krijg ik de melding dat ik een code moet aanvragen, terwijl ik die op m'n telefoon al lang heb ingevuld en de app prima draait.

Jammer dat je alleen kunt klagen over de app tegen 10ct p.m.

Wel petje af, beetje laat, maar zeker welkom! HULDE.

<edit>bij nader inzien werkt het prima op iPad</edit>

[Reactie gewijzigd door vespino op 9 november 2011 17:16]

Je kan je account maar op 1 apparaat koppelen denk ik. Ik zag op mijn.ing.nl tijdens het aanvragen van de beveiligingscode dat netjes mijn toestel naam vermeld stond (HTC Desire HD)
Ik zag dat je meerdere toestellen kon aanmelden.
Het is jou wel daadwerkelijk gelukt om erin te komen? Op mijn DHD past het rekeningnummer invoerveld niet op het scherm waardoor ik het laatste getal van mijn pasnummer niet kan invoeren.
Je kan in de app toch support vragen...
Maak er gebruik van zou ik zeggen ;)
Bij mij kwam de Android versie op de HTC Sensation niet veel verder dan 'Verbinding mislukt', 'U bent om veligheidsredenen uitgelogd' (zonder dat ik ooit was ingelogd) en 'Uw pincodes komen niet overeen'.

Op de laatste stap van het activeren ging het mis. Nu vindt de app dat hij niet actief is, maar de website van ING vindt van wel. Nog een keer activeren mag niet, dus kan ik gaan bellen met het betaalde servicenummer van ING. Geen goede eerste indruk dus.
Raar, ik heb net 5 minuten geleden de app ingesteld op mijn HTC Sensation. Ik kreeg alleen te zien bij het opstarten dat mijn telefoon niet officieel wordt ondersteund en dat daardoor de app mogelijk niet goed functioneerd.

Toch gewoon uitgeprobeerd en ik kon vlekkeloos aanmelden en alle functies gebruiken. Misschien dat je de 6 cijferige code de eerste keer niet correct had ingevuld en daardoor deze fout krijgt. Bij het kopje Mobiel op de website, kun je meer info vinden en een andere code aanvragen.

Het ligt dus niet aan de app, want deze werkt goed.

[Reactie gewijzigd door TenTimes op 8 november 2011 15:40]

Tja, ik kon mij dus niet vlekkeloos aanmelden en alle functies gebruiken. Om nu de conclusie te trekken dat het niet aan de app ligt is wel voorbarig.

Het zal waarschijnlijk liggen aan de altijd gebrekkige T-Mobile 3G verbinding in combinatie met een app of ING server die daar niet mee om kan gaan. Dan vind ik het alsnog een fout van de ontwikkelaar van de app en/of de backend die er bij hoort. Mobile internet is domweg niet 100% betrouwbaar en daar hoor je rekening mee te houden.
Ik zat op een wifi netwerk dus daar zou het verschil in kunnen zitten. Mag je dadelijk niet via mobiele netwerken aanmelden, heb je nog weinig aan die mobiele app.
Dat werd ook eens tijd ook. Ben speciaal van ING naar Rabo gegaan om via me iPad en telefoon te kunnen internet bankieren. Vind dat ING erg laat is met deze App.
Ik kan al internet-bankieren zolang als dat bij ing postbank mogelijk is, je hebt er alleen een browser voor nodig of dat nou op een telefoon, computer, pda of tablet is maakt helemaal niks uit...

Ik zit juist bij ing/postbank omdat ik een hekel aan heb dat je een specifiek apparaat nodig hebt, wat ik bij me zou moeten dragen om te kunnen internetbankieren waar ik maar wil...
Mijn wordenkeus is fout. Ik bedoel daar dus geen internetbankiere mee op de computer maar echt los op de telefoon/tablet etc. Ik had echt zo'n hekel aan die TAN code. Kreeg ze zelfs niet eens altijd binnen :s En geld overmaken was ook altijd een ramp naar Rabobank mensen. Duurde altijd 1 dag. Tot dat ze alle kantoren onderhand weg gingen halen werd het sneller maar toen had ik al een Rabo rekening afgesloten. Geef mijn maar een Randomreader. Altijd save en valt niet te krakken tenzij iemand anders er iets mee gedaan heeft waarvan je hem wilt lenen oid. Maar je eigen is altijd save. En dan via de app op de tablet oid. Moet je je eigen verzonnen 5 cijverige code invullen en bij het overmaken ook nog de randomreader gebruiken. Ik vind het van Rabobank wel goed werken! :)
Het werd tijd dat ook ING een keer een applicatie uitbracht.

Mijn eerste ervaring is heel goed. Alles wordt duidelijk weergegeven en werkt zoals je het zou willen. Het werkt in alle gevallen vele malen beter dan de site bezoeken op je mobiel.
Wat wel jammer is, is dat je nog niet je spaarrekeningen en je creditcards kan bekijken, dit is voorlopig nog wel een gemis.
Mijn eerste ervaring is heel goed. Alles wordt duidelijk weergegeven en werkt zoals je het zou willen. Het werkt in alle gevallen vele malen beter dan de site bezoeken op je mobiel.
Wat wel jammer is, is dat je nog niet je spaarrekeningen en je creditcards kan bekijken, dit is voorlopig nog wel een gemis.
Niet alleen dat, ook je adresboek staat er niet in voor overmaken. Net geprobeerd om een bedrag over te maken, maar alles moet handmatig ingevuld worden. Dat is toch wel een cruciaal iets zou je zeggen...
Het is ook maar versie 1.0 :+ Er zijn wel meer wijzigingen die ik zo kan bedenken, maar daar heb je de feedback knop van de app voor...gebruiken zou ik zeggen
1 2 3 ... 8

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True