ING schakelt two-factor-authenticatie in bij inloggen

ING heeft een extra authenticatiestap toegevoegd aan zijn internetbankierdienst. Wie inlogt vanaf een computer die bijvoorbeeld nog niet eerder is gebruikt voor internetbankieren van ING, moet inloggen met een zogenoemde persoonlijke authenticatiecode.

De bank maakte al gebruik van zogenoemde tan-codes bij het bevestigen van betalingen; de nieuwe pac's worden daaraan toegevoegd als een extra stap in het authenticatieproces. Dat heeft de bank maandag bekendgemaakt. De directeur Verkoop en Service Internet van ING noemt de nieuwe authenticatiestap een 'uitbreiding van het tan-systeem'.

Er wordt gevraagd om de zogenoemde pac-code als gebruikers 'anders inloggen dan normaal'. "Het gaat daarbij om een aantal variabelen", zegt woordvoerder Daan Heijbroek van ING. "Een daarvan is de locatie. We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.

De codes kunnen net als tan-codes zowel via sms worden verstuurd als op een papieren lijst worden aangeleverd. Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie. Gebruikers van papieren lijsten ontvangen binnenkort een nieuwe lijst waarop ook pac's staan.

De manier waarop ING authenticatie bij het inloggen inschakelt, doet denken aan de two factor authentication-implementatie van Facebook en Google. Als gebruikers die functionaliteit hebben ingeschakeld en vanaf een nieuwe locatie inloggen, krijgen ze een verificatiecode per sms.

IT-banen

Reacties (162)

PcDealer 20 november 2012 10:43

Klinkt als RSA Adaptive Authentication.

Edit:
Inderdaad, ING Direct had het in 2006 al.

[Reactie gewijzigd door PcDealer op 22 juli 2024 21:37]

frickY 20 november 2012 10:21

Nog steeds niets verbeterd aan het feit dat als je je telefoon kwijt raakt men met een 5-cijferige cijfercode bij al je saldi kan.

Vergeten gebruikersnaam kan naar mobile worden gestuurd
Wachtwoord kan met mobiel worden gereset
Overschrijvingen kunnen middels tan-code op mobiel worden gemaakt

Zou het een stuk fijner vinden als je, zoals bij andere banken, via mobiel alleen kunt overmaken naar adressen die al in je adresboek staan, of dat er een maximum aan is verbonden.

maradesign @frickY • 20 november 2012 10:51

Ik snap niet dat jij plus 2 krijgt want het klopt gewoon niet wat je zegt.
Je kan je wachtwoord opvragen niet je gebruikersnaam. Deze wordt gevraagd icm pasgegevens om je wachtwoord op te sturen. En waarom is een 5 cijferige ( onbekende!) cijfercode niet goed genoeg? ga jij die maar kraken als dief. Als of dat met een beetje gokken gaat lukken. Heb je ooit zo iemand een pincode zien ontcijferen? daar moet hardware voorgemaakt worden om het te skimmen.

En er is een maximum aan verbonden 1000 euro. Naar je eigen rekeningen is er geen limiet ( het blijft immers bij jezelf )

jona @frickY • 20 november 2012 11:16

Het is niet zo onveilig zoals jij het nu voorstelt.

Als je je bankpas kwijtraakt heb je alleen een 4-cijferige code nodig om niet alleen bij je saldo maar ook bij je geld te kunnen. Dus wat is er nu dan onveiliger? Bovendien hebben de meeste mensen ook nog een toegangscode op hun telefoon zodat je niet eens bij de app komt en blokkeert de app na drie pogingen. Weinig kans dat je dus de code raadt.

Gebruikersnamen worden niet naar je mobiel gestuurd bij de ING. Ben je je gebruikersnaam vergeten dan moet je eerste een lange procedure doorlopen waarbij ze om allemaal gegevens vragen waaronder je bankpasgegevens. Daarna pas wordt je gebruikersnaam naar je huisadres verstuurd. Behoorlijk veilig dus.

Wachtwoorden kunnen wel gereset worden op je mobiel, maar dan moet je wederom een lange procedure doorlopen en allerlei gegevens opgeven. Aan de mobiel heb je dus niet genoeg.

Tan-codes worden inderdaad naar je mobiel gestuurd, maar kan geblokkeerd worden wanneer het toestel kwijtraakt, net als je een bankpas kan blokkeren die je kwijtraakt. Bij een bankpas heb je dan alleen nog maar een pincode nodig, terwijl je bij de ING ook nog een gebruikersnaam en wachtwoord nodig hebt.

Samengevat, verlies je je telefoon, dan hebben ze (tijdelijk) toegang tot je Tan codes. Het wachtwoord kun je achterhalen, maar dan heb je wel persoonlijke gegevens nodig. Een telefoon is dus niet genoeg, je hebt ook iemands portemonnee nodig en nog meer. De gebruikersnaam kun je niet in korte tijd achterhalen omdat dat via de post gaat. Iemand die je telefoon vind heeft dus bij lange na niet genoeg om ook je rekening te plunderen. Zelfs al je je Tan codes niet blokkeerd ,wat heel dom is, kan de vinder bijna onmogelijk aan je geld komen.

Op zijn minst vind ik het even veilig als de systemen van andere banken omdat je drie zaken nodig hebt om geld over te maken (gebruikersnaam/wachtwoord/telefoon), waarvan een fysiek ding. Bij andere systemen heb je aan twee zaken genoeg (bankpas/pincode).

thunder8 @frickY • 20 november 2012 11:19

Er is een maximum aan verbonden. Je kan geloof ik niet meer dan 500-600€ overmaken met de app van ING. Daarnaast zal je toch eerst die 5 cijferige code moeten hebben om uberhaupt ergens bij te kunnen. Als je als gebruiker zo dom bent om je code op je telefoon op te slaan, zodat bij diefstal/verlies van je GSM alles bekend is bij de dief/vinder, dan verdien je het haast dat je rekening wordt leeg getrokken.

Ik ken niet de precieze procedure van het opvragen van je gebruikersnaam op de mobiel en/of het wachtwoord resetten. Heb in het verleden 1 of 2 keer gehad dat ik het wachtwoord 3x verkeerd intikte, daarna kon ik tot een week niet meer internetbankieren, vanwege een geblokkeerd account. Toen moest je wachten totdat de brief bij het postkantoor lag en die moest je met je ID en bankpas ophalen. De 2de keer kreeg ik een blanco envelop thuis, waarna je via een aantal stappen je acount weer vrij kon schakelen.

Die Tancodes per SMS vind ik prima. Je moet als dief dan beschikken over de gsm, gebruikersnaam en het wachtwoord. En een random reader? Daar kan de dief met bankpas, code en random reader net zoveel schade aanrichten. Enige verschil is dat men de gsm eerder zal missen dan een random reader en dat je als gebruiker eerder je gsm bij je hebt dan je random reader. win-win situatie in mijn ogen voor de ING methode.

MaffeMaarten @thunder8 • 20 november 2012 12:06

Win-Win is niet waar natuurlijk, Ik ben ook heel erg blij met het gebruiksgemak van de ing, maar ik vind wel degelijk dat de random-reader methode veiliger is. Voornamelijk omdat je je wachtwoord in moet geven in een pc de een keylogger kan hebben, en je tancode ontvangt via sms op je smartphone, die ook gehackt kan worden om alle sms-jes van "ING" niet te laten zien maar wel door te sturen.

Ik geef toe dat het erg knap is van een eventuele hacker om dit op de twee apparaten voor elkaar te krijgen, maar het is altijd een stuk waarschijnlijker dan het stelen van de pinpas en het achterhalen van je pincode (plus, als dat zou gebeuren bij een ing-klant heeft deze toch ook een probleem).

thunder8 @MaffeMaarten • 20 november 2012 18:31

En een bankpas kan geskimmed worden bij een bank en/of supermarkt, waardoor ook je pincode bekend is. Als men dan je random reader in handen krijgt heb je een net zo'n groot probleem als bij de methode van ING. Als het algoritme van de random reader gekraakt is/wordt, hebben ze die helemaal niet meer nodig. Want ondanks de naam, is het niet zo random als de naam behelst. Anders zou de bank nooit de code kunnen controleren.

De methode van het scheiden van de TAN-codes via SMS en inloggen via een PC is heel slim. Want je kan dan misschien wel gehacked worden op beide apparaten, maar dan moeten ze het wel voor elkaar krijgen om de juiste combinatie te vinden van login PC en mobiele nummer GSM.

Uiteindelijk denk ik dat beide methoden niet veel voor elkaar onder doen. Zover ik weet moet een bank ook aan bepaalde veiligheidseisen voldoen en zal er behoorlijk veel kennis in huis zijn over wat wel en niet mogelijk is. Wij tweakers denken vaak alles beter te weten, maar een bank zal ook niet over 1 nacht ijs gaan.

MaffeMaarten @frickY • 20 november 2012 10:39

Volgens mij is de grote fout dat je een wachtwoord reset via een sms kan doen.
Eerst was dit via een brief op je adres, (misschien ook niet super-veilig, maar al een heel stuk beter omdat je nu ook het adres nodig hebt, en vooral omdat er een aantal dagen over heen gaan).

Ik snap dat dit niet gebruikersvriendelijk was, maar ergens moet je een grens trekken lijkt mij, als je je pincode vergeet kan je die ook niet via een sms resetten....

freaky @frickY • 20 november 2012 10:49

Ga naar een andere bank...

Ik vind dit veel prettiger en velen met mij.

Volgens mij staat ook duidelijk in de voorwaarden dat je diefstal/verlies direct dient te melden. Net als bij creditcards en vele andere zaken overigens.

En vooralsnog moet ik de eerste nog zien die het echt geld kost (op persoonlijke context ipv dat de bank het vergoed).

Pim. 20 november 2012 10:09

Dus je krijgt een SMS op het zelfde device als waar je de TAN codes op krijgt?

Weinig extra veiligheid als je het mij vraaagt. Je had altijd al een password en de telefoon nodig om geld over te kunnen schrijven. Enige voordeel is dat hackers je saldo niet meer kunnen zien

Rupie @Pim. • 20 november 2012 10:19

Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon. Je kunt overboeken met telefoon. En deze 'extra beveiliging' werkt ook via de telefoon? Om de een of andere reden geeft dit het gevoel dat het voornamelijk een extra handeling gaat worden die je soms zal moeten gebruiken. Hoe het hierdoor veiliger gaat worden is mij een raadsel eigenlijk.

sygys @Rupie • 20 november 2012 10:32

Hoezo niet veilig Rupie? Een hacker moet je loginnaam hebben. daarnaast je wachtwoord, vervolgens dezelfde pc op dezelfde plaats gebruiken of beschikken over JOU telefoon om uberhaupt in te loggen. om gegevens opnieuw op te vragen, is je bankpas nodig, je geboorte datum je naam en adres. Vervolgens moet een hacker op je fysieke adres je post van ING onderscheppen die overigens in een blanco envelop wordt opgestuurd.

Vervolgens moet de hacker wanneer hij dit alles voor elkaar gekregen heeft ook nog deze gegevens ter verificatie op internet invoeren.

Ik denk dat het makkelijker is gewoon de voordeur te forceren en de autosleutels mee te nemen!!!

Wanneer je je telefoon niet meer hebt dan blokkeer je je nummer en dan komen er ook geen tan codes of pac codes meer aan op het toestel. Dus wat is precies het probleem??

Deze functie is puur bedoelt voor wanneer een hacker ongemerkt je gegevens te pakken krijgt en probeert in te loggen. Ik snap alleen niet hoe mensen nog steeds in die mailtjes trappen van valse banken. Als je het niet vertrouwt en het lijkt wel echt kun je ook altijd valse gegevens invoeren. als je dan toch door het eerste scherm komt... dan weet je direct genoeg. ik typ voor de gein altijd "Fuck you" in bij gebruikers naam zodat ik de hacker even laat weten wat ik van hem denk als hij de valse gegevens van mij binnen krijgt.

Ik vraag me alleen nog steeds af hoe het met outlook mogelijk is dat je een email adres kunt masken en er gewoon info@ing.nl van kunt maken... dit zou gewoon niet moeten kunnen! want dat zou een hoop schelen als je het daadwerkelijke email adres van de hacker te zien zou krijgen, dan zou je daar eens lekker een spam bot op los kunnen laten. Ik vraag me ook af waarom ze die gasten niet gewoon simpel kunnen achterhalen.

[Reactie gewijzigd door sygys op 22 juli 2024 21:37]

Rafe @sygys • 20 november 2012 10:58

Rupie zet geen vraagtekens bij de veiligheid, maar bij de toegevoegde veiligheid van deze pac-codes. ING had al two-factor authentication: je moet inloggen met iets dat je weet (username/password) en iets dat je hebt (tan-codes via SMS naar je mobiele telefoon - ik gok dat weinig mensen ze nog op papier gebruiken).

Nu zegt ING het veiliger te maken door inloggen extra te controleren en verdachte logins een extra check te geven. Vreemd genoeg gebruiken ze exact hetzelfde kanaal voor die pac-codes als de tan-codes, namelijk een SMS. Met andere woorden: hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen, en dat is nu nog steeds zo. Het zou pas echt veiliger zijn als er om een derde factor zou worden gevraagd ipv die pac-codes, zoals iets dat de gebruiker is: een scan van de vingerafdruk of iris.

Het tweede deel van je verhaal - spoofen van e-mailadressen voornamelijk - bestaan al oplossingen voor maar ze zijn nog niet breed in gebruik genomen. Kijk eens naar DKIM en SPF.

Edit: ik was vergeten dat je bij de ING in kan loggen zonder code via SMS, dat voegt deze pac-code wel toe. Het maakt het iets lastiger om er achter te komen of het de moeite waard is om je telefoon te stelen

want daarna gaat het verhaal over je rekening plunderen nog steeds op. Dus tenzij inzicht in je saldo, bij- en afschrijvingen een gevoelige kwestie is (chantage?) voegt dit imo weinig praktische veiligheid toe.

[Reactie gewijzigd door Rafe op 22 juli 2024 21:37]

Anoniem: 178824 @Rafe • 20 november 2012 16:05

Ik gebruik bewust geen SMS. Het waarom laat ik even achterwege.

Kortom: ik gebruik TAN codes op papier.... De username en pass ken ik uit m'n hoofd. Hiermee kan ik overal inloggen zonder mijn TAN-lijst nodig te zijn. Alleen bij het doen van een transactie moet ik deze erbij pakken.

Maar nu komt er dus een 2e papieren lijst die ik al nodig ben bij het inloggen? Dus even snel kijken wat er bij en af geschreven is kan niet "zomaar" meer.... what the @#$#@$

Wim-Bart @Rafe • 20 november 2012 16:14

ik gok dat weinig mensen ze nog op papier gebruiken).

Gebruik ze wel degelijk nog op papier. Neem TAN lijst mee als ik naar buitenland ga en doe niet aan SMS. SMS is gewoonweg te onveilig, bijvoorbeeld omdat je bij een gestolen telefoon waarop je geen "pin code" hebt het risico loopt dat je tot alles toegang geeft.

Het voordeel van een papieren lijst is dat je deze gewoon ergens kan opbergen, er niet de hele dag mee rond hoeft te lopen. Zelf heb ik een foto kopie gemaakt van de tan lijst waarbij deze is verkleind tot A6 formaat, zit gewoon ergens waar ik het weet. Jatten ze mijn phone, dan geen nood, kan ik gewoon nieuwe telefoon bestellen zonder phone nodig te hebben.

Daarnaast gaat een TAN lijst niet kapot, heb je ook geen last van keyloggers in je tan lijst, of app's die je sms'jes onderscheppen.

zvbhvb @Rafe • 20 november 2012 12:13

Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren.Er zijn genoeg criminele groepen die gebruik maken van 0days al dan niet verstopt in de reclame op diverse websites waarna de PC van een ING klant over genomen kan worden.Wat maakt die PC op een andere locatie dan nog uit?Het is gewoon half werk.Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.

mschol @zvbhvb • 20 november 2012 12:25

Als gewone consument bij de ING bank is een username/password combo genoeg om toegang te krijgen tot online bankieren

en dan kan je dus alleen saldo inzien.

Nu is het zo dat je zelfs om maar in te kunnen loggen van je afrikaanse verbinding je een extra code nodig hebt die niet via de internetsite te achterhalen valt..

Een echte stap zou een digipas voor ook niet zakelijke klanten van de ING bank.Maar ja wetende dat er wederom een aantal mensen ontslagen zullen worden bij de ING lijkt het mij waarschijnlijk dat men voor de voordeligste en niet perseen veiligste oplossing koos.

digipas? nog nooit van gehoord, vast een heel select groepje zakelijke klanten dat dat heeft (die vermoedelijk uit een overname van een andere bank komen)

Titusvh @zvbhvb • 20 november 2012 12:52

Dan nemen ze mijn pc over, maken een betaling aan. En terwijl ik heel wat anders doe krijg ik een sms met een TAN code. Daar hebben die hackers toch niks aan?

Fireshade @Rafe • 20 november 2012 12:02

hiervoor had ik genoeg aan het jatten van je username, password en mobiele telefoon om je rekening te plunderen

Dat is nogal wat volgens mij. En dat is ook het punt van Damsplaat.

Damsplaat @sygys • 20 november 2012 10:44

Totdat iemand je telefoon ongemerkt weet te forwarden naar een ander nummer. Onwaarschijnlijk? Lees dit maar eens, een erg interessant artikel uit wired:

This past summer UGNazi decided to go after Prince, CEO of a web performance and security company called CloudFlare. They wanted to get into his Google Apps account, but it was protected by two-factor. What to do? The hackers hit his AT&T cell phone account. As it turns out, AT&T uses Social Security numbers essentially as an over-the-phone password. Give the carrier those nine digits—or even just the last four—along with the name, phone number, and billing address on an account and it lets anyone add a forwarding number to any account in its system. And getting a Social Security number these days is simple: They’re sold openly online, in shockingly complete databases.

Prince’s hackers used the SSN to add a forwarding number to his AT&T service and then made a password-reset request with Google. So when the automated call came in, it was forwarded to them. Voilà—the account was theirs.

Anoniem: 382732 @Damsplaat • 20 november 2012 14:09

In Nederland is er geen operator die SMS forwarding aanbiedt....

Croga

@Rupie • 20 november 2012 10:41

Dat was precies wat mij ook te binnen schoot. Je kunt gebruikersnaam en wachtwoord volgens mij achterhalen met bankpas en telefoon.

Succes daarmee.....
Nee, dat kan dus niet. Het wachtwoord wordt zowieso nooit af gegeven. Dat kan alleen gereset worden en dat is een uitgebreide, langdurige procedure waarvoor je eerst je account moet blokeren en daarna een brief thuis gestuurd krijgt.

Nee, zo simpel is het niet. De beveiliging is wellicht niet perfect maar op sommige gebieden toch wel behoorlijk sterk.

Rukapul @Croga • 20 november 2012 11:43

Sinds een wijziging in 2010 is dat niet meer zo: [Risico] Aanpassing wachtwoord-retrieval MijnING.nl

Dannisi @Croga • 20 november 2012 10:51

Dat is niet waar. Ik heb het vanmorgen nog gedaan.
Je moet de gegevens van je bankpas hebben, je inlognaam en je telefoonnummer (en dus ook de telefoon)
Via sms krijg je een tijdelijk wachtwoord waarmee je 30 min kan inloggen om een nieuw wachtwoord aan te maken.
Voor mij handig, want ik zit momenteel in het buitenland

Anoniem: 382732 @Dannisi • 20 november 2012 14:11

Typisch. Als je op consumentenfora gaat zoeken zie je veel klachten van mensen die moeten wachten totdat ze een nieuw password op het postkantoor kunnen ophalen....

Wim-Bart @Dannisi • 20 november 2012 16:17

Heel vreemd, want de procedure bij 3 keer fout wachtwoord is:
* per post een brief dat je nieuwe wachtwoord wordt gezonden naar een postagentschap
* na 5-7 dagen ligt nieuwe wachtwoord klaar bij dat agentschap
* brief en geldige legitimatie nodig om wachtwoord op te halen.

[Reactie gewijzigd door Wim-Bart op 22 juli 2024 21:37]

maradesign @Rupie • 20 november 2012 10:42

Je kan je gebruikersnaam neit achterhalen met pas en telefoon. Je kan alleen je wachtwoord opvragen via je telefoon als je dat als tanfunctie hebt ingesteld. Het is onmogelijk met welk onderdeel dan ook of alleen je gebruikersnaam, of alleen je wachtwoord of alleen je pac / tan om aan de rest van de codes te komen.

Het is alleen mogelijk via man in de middle of als je letterlijk de codes afhandig maakt van de gebruiker. Dus telefoon / pas en of tanlijst steelt. Dat is wel erg extreem.

MaffeMaarten @Pim. • 20 november 2012 10:19

Lijkt me heel veel extra veiligheid. (zonder in te leveren op gebruikersgemak.)

Bijvoorbeeld omdat je met het zien van saldo en laatste bij-afschrijvingen heel makkelijk een paypal account kan koppelen aan een lopende rekening.

Ik zeg niet dat ik 100% tevreden ben over de veligheid van internetbankieren bij de ing (zeker omdat je tegenwoordig ook je wachtwoord kan veranderen via sms-codes), maar dit is zeker wel een stukje veiliger dan eerst.

maradesign @Pim. • 20 november 2012 10:20

Het is een kwestie van tijd natuurlijk wanneer ook de virusmakers hier op in gaan spelen en ook via man in de middle deze PAC code proberen te ontfutselen. Maar ik denk dat het hier gaat om locatie gebonden inlogsessies. Dus dat deze PAC code niet werkt op een andere locatie alleen maar op dat moment bij de gebruiker waar hier om wordt gevraagd.

Dit is meer bedoeld denk ik om onterechte blokkades te voorkomen wanneer ING denk dat het om een fraudepoging gaat waarbij de inloggegevens in bezit zouden zijn van een fraudeur. Daar kan nu een scheiding in gemaakt worden.

[Reactie gewijzigd door maradesign op 22 juli 2024 21:37]

dormamu @Pim. • 20 november 2012 10:23

En dat de "Paypal" zwendel niet meer mogelijk is hierdoor. Daar had je uitsluitend de login voor nodig.

ari @Pim. • 20 november 2012 11:03

Het grote voordeel is dat de hele PayPay-scam niet meer werkt en da's best goed nieuws.

nieuws: Fraudeurs omzeilen beveiliging ING via Paypal

Bij PayPal hoef je namelijk alleen maar twee bijschrijvingen kunnen inzien om het rekeningnummer (met automatische incasso) te kunnen gebruiken. Dat kon voorheen dus al met gebruikersnaam en wachtwoord, want dan kon je bij de af- en bijschrijvingen. Nu zit daar dus die extra code tussen, zodat je ook nog iemands telefoon (of alleen het smsje) moet zien te onderscheppen.

Rukapul @ari • 20 november 2012 11:46

Dat is hooguit bijvangst. Paypal zou namelijk de veiligheid niet enkel van een kanaal van een derde met semi-ongedefinieerde en niet gegarandeerde veiligheidseigenschappen moeten laten afhangen.

Orion84 Admin General Chat / Wonen & Mobiliteit @Pim. • 20 november 2012 12:43

Niet alleen je saldo, ook de details van vorige transacties. En sommige online betaalsystemen valideren nieuwe accounts door een kleine transactie te doen via incasso, waar dan in de omschrijving de activatiecode staat.

Als aanvaller kon je voorheen zonder two-factor authenticatie toegang krijgen tot die transactiegegevens om een online account koppelen aan andermans bankrekening.

Edit: ah, dat zij ari ook al: ari in 'nieuws: ING schakelt two-factor-authenticatie in bij inloggen'

[Reactie gewijzigd door Orion84 op 22 juli 2024 21:37]

Anoniem: 26447 @Pim. • 20 november 2012 11:05

Misschien een stomme vraag, maar hoe moet ik sms ontvangen op mijn computer, want een mobiel heb ik niet.

SunnieNL

@Anoniem: 26447 • 20 november 2012 11:23

Voor jou is het papiertje met codes uitgevonden. Die iedereen gewoon kan kopieeren en die je kan kwijtraken, zodat je account makkelijker binnen te komen is dan via sms.

(die papieren versie moet er gewoon uit.. en tan codes via SMS kunnen ze beter vervangen door een random reader die iedereen gewoon mee kan nemen in de tas maar waar je niets aan hebt zonder bankpas en pincode)

Roelof @SunnieNL • 20 november 2012 11:31

iedereen zo maar kan kopieeren

Moeten ze wel eerst inbreken. Mijn mobiel loopt een groter gevaar te worden gestolen.

Rukapul @Pim. • 20 november 2012 11:52

Ik sluit me vooralsnog bij je aan.

Als banktrojans de meest significante aanvalsvector vormen op het moment dan gaat dit de oplossing daarvoor in elk geval niet bieden. Wat wel kan bijdragen en mogelijk gerelateerd is, is dat banktrojans steeds beter de context (browser, etc) moeten imiteren of nadoen om niet server-side gedetecteerd te worden. Dat hoeft echter niet bij het inloggen te gebeuren, maar kan gewoon bij de transactie plaatsvinden.

Sterke authorisatie van apparaten is prima in veel omgevingen, maar in dit geval lijkt het bijzonder weinig toe te voegen.

[Reactie gewijzigd door Rukapul op 22 juli 2024 21:37]

David Mulder 20 november 2012 10:05

Indien ze gebruikers duidelijk genoeg maken dat ze die codes puur en alleen moeten aanvragen op momenten dat ze echt op een nieuwe locatie zijn en anders nooit kan het een nuttige toevoeging zijn, maar in essentie veranderd er eigenlijk niets en is het niet eens echt two factor authenticatie, want de factoren zijn aan elkaar gelijk. (Niet zoals bij andere two factor systemen waar bijv. mobiel+desktop de twee factoren zijn.)

Countess @David Mulder • 20 november 2012 10:08

het lijkt me dat het net als met TAN codes zo werkt dat je de code krijgt toegestuurd zodra je hem nodig hebt. en enkel en alleen dan.

Anoniem: 126717 @Countess • 20 november 2012 10:39

Dat staat ook in het artikel: "Wie gebruikmaakt van tan-codes per sms, ontvangt de pac's binnenkort op zijn telefoon bij het inloggen op een onbekende locatie."
Daar moet ik even rekening mee houden. Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.
Goede zaak, hier sta ik volledig achter!

SunnieNL

@Anoniem: 126717 • 20 november 2012 11:20

Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.

Hoop voor ING dat ze er gelijk een checkbox 'tijdelijke locatíe' bij hebben gemaakt die de geldigheid van die pc gelijk wist als je uitlogt.

pe1dnn @SunnieNL • 20 november 2012 11:36

Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.

Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was. De misbruiker moet dan toegang hebben tot die specifieke PC en weten dat dat de PC is die jij gebruikt hebt.

Stel dat je in je in een jaar toegang hebt gehad met de ING op 100 PC's (wat al excessief is volgens mij) dan zijn dat altijd nog veel minder potentiele lekken dan de honderden miljoenen PC die er op de wereld zijn. Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe. Dus zelfs als het gebeurt, wat al een veel kleinere kans is volgens mij, is er qua onderzoek veel meer uit te zoeken.

Ik denk dat misbruikers liever een verbinding over een aantal data centers willen laten lopen om het spoor zo moeilijk mogelijk te maken, dat gaat nu niet meer.

Dus nee, misbruik is niet volledig onmogelijk maar ja, het is wel een stuk lastiger en beperkter geworden. Ik denk dat de telefoon stelen en dan als de bliksum geld overmaken gemakkelijker is.

[Reactie gewijzigd door pe1dnn op 22 juli 2024 21:37]

Katth @pe1dnn • 20 november 2012 16:09

Mee eens en ben blij dat ze blijven ontwikkelen. Het is een relatief kleine stap wat al veel misbruik zal gaan voorkomen.

i-chat @pe1dnn • 20 november 2012 12:21

dus ik kan geblindoekt het spoor hier over steken, er rijden maar zo'n 10 treinen heen en 1 treinen terug... als het voorbrij razen 1 minuut doort heb je dus meer kans op niet geraakt te worden...

GOED punt om daar je persoonlijke veiligheid op te baseren.

alleen al het feit dat men geen openheid bied in de manier waarop wordt beveiligd, (security by obscurity), is een compleet foute instap, (dat leer je al in klas 1 mbo ict...

dat je dit voor thuis op 1 pc' kunt uitschakelen zou al erg genoeg zijn maar begrijpelijk, de rest zo moeten gaan via smstjes of andere losstaande factor...

bijv door een code die je weet, en een code die je pas kunt weten op het moment dat je hem nodig hebt..

robvanwijk @pe1dnn • 22 november 2012 00:14

Maar dat misbruik moet dan op die specifieke PC plaatsvinden, dat is natuurlijk al een veel kleinere kans dan willekeurig welke PC ter wereld zoals het was.

Nou ja, als een "minder-eerlijke" persoon een internet-cafe heeft juist om te kunnen sniffen / keyloggen / whatever, dan kan ik automatisch ook meteen bij de goede machine.

Maar ik ben het wel met sundace eens ja, de tweede keer is net zo riskant als de eerste. Dus na de eerste keer succesvol inloggen zou je eigenlijk een optie moeten krijgen "sla deze locatie wel/niet op voor toekomstig gebruik".

Daarnaast zijn de locaties en identiteiten van de PC's bekend, als er al misbruik wordt gemaakt is het veel gemakkelijker terug te traceren naar dat internet cafe.

Ergens heb je een punt, maar ik ga toch liever voor de "voorkomen is beter dan genezen"-aanpak.

Anoniem: 81606 @SunnieNL • 20 november 2012 12:24

Goede zaak, maar lost niets op. Want jij logt dan een keer in bij dat internetcafe in het buitenland. Op dat moment is die pc door jou geregistreerd en kan iemand anders jou account op die pc gewoon misbruiken omdat er niet nog een keer om een PAC code wordt gevraagd.

Niet juist;

De bank ziet dat je in Nederland woont en normaliter vanuit Nederland inlogt. Log je vanaf het buitenland in, wordt er vermoedelijk ELKE KEER een tan code gevraagd...

Niet alle details van het systeem zijn immers bekend gemaakt :-)

DonChaot @Anoniem: 81606 • 20 november 2012 13:16

Dat zou erg vervelend zijn. Internetverkeer op mijn werk gaat via een franse server. Iedere inlog daar is dus 'vanuit het buitenland'.

ATS @DonChaot • 20 november 2012 13:40

Je moet je om te beginnen natuurlijk afvragen of je wel (vaker dan incidenteel) wil inloggen op je privérekening vanaf je werk, maar goed. Stel dat je dat zal doen, dan gaat dat systeem vast wel doorhebben dat je dat regelmatig doet en je systeem dus vertrouwen.

Wim-Bart @DonChaot • 20 november 2012 16:01

Bankzaken doe ik thuis. Niet op het werk. Op het werk werken we tenslotte voor de baas

Franckey @Wim-Bart • 20 november 2012 21:13

Je kan natuurlijk wel even checken of je salaris al is overgemaakt.

DrBashir @kzin • 20 november 2012 16:01

Het systeem vraagt jou niet om die variabelen in te vullen, dat doet het systeem zelf. En aan de hand van de waarden van die variabelen bepaald het (de ING) of het al een vertrouwde locatie is, of dat je nog eens extra moet bevestigen mbv die pac code.

Martinspire @SunnieNL • 20 november 2012 12:12

Het lijkt me dat je wel de toestemming op pc's kunt weghalen? Zo werkt het bij Microsoft momenteel ook voor Windows 8 en Windows Phone. Ook facebook heeft deze mogelijkheid

[Reactie gewijzigd door Martinspire op 22 juli 2024 21:37]

mschol @SunnieNL • 20 november 2012 12:17

ik zou eigenlijk aannemen dat een pc pas vertrouwd is vanaf 3-4 veilige aanlogs in een kortere periode (b.v. 2 weken)

EektheMan @Anoniem: 126717 • 20 november 2012 18:31

Ik ga binnenkort naar het buitenland, en zal dus voordat ik ga bankieren even mijn Nederlandse SIM in mijn telefoon moeten steken.

Leuk, totdat je in een regio of land komt waar je geen mobiel kunt gebruiken. Zat plekken in Afrika en Azie waar je wel internet hebt, maar geen mobiel bereik (of zelfs bv zoals in Myanmar helemaal geen mobiel netwerk). Ik vind het dus helemaal niets. Of men moet je de mogelijkheid geven om die SMS TAN route te omzeilen.

Anoniem: 81606 @EektheMan • 20 november 2012 19:08

Geen paniek, er zijn natuurlijk oplossingen voor alle situaties, zelfs als je naar Myanmar gaat.
Bijv. een PAC / TAN lijst op papier meenemen :-)

Webjunkie @Anoniem: 126717 • 20 november 2012 11:14

vergeet dan niet je voicemail uit te zetten.

Astennu @Webjunkie • 20 november 2012 11:25

Hoezo dat? ik gebruik ook ING en heb voicemail er op staan. Dus ik zie het probleem niet zo?

Anoniem: 382732 @Astennu • 20 november 2012 13:53

VOicemail is nogal duur in het buitenland....

Wim-Bart @Astennu • 20 november 2012 15:59

Wat dacht je van mensen die je voicemail inspreken op vakantie......

Anoniem: 126717 @Webjunkie • 20 november 2012 11:18

LOL! Die heb ik nog nooit aangehad.

Maar mijn data moet ik inderdaad wel uitzetten.

StefanTs @David Mulder • 20 november 2012 10:10

Zodra jij met mijn account probeert in te loggen met mijn login/paswoord zal je de tan code ook nodig hebben. Los van het feit dat je sowieso al geen geld kon over maken kun je nu ook mijn bankzaken niet meer inzien wanneer je mijn login/paswoord bemachtigt. Dus er is wel degelijk een verschil.

guapper @StefanTs • 20 november 2012 10:16

Wanneer ik met jouw login/pass in probeer te loggen wordt dus om de nieuwe PAC gevraagd, niet om de TAN.
De TAN wordt pas gevraagd bij bevestiging van een betaalopdracht zoals gebruikelijk.

Anoniem: 135995 @guapper • 20 november 2012 10:25

Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet

Fireshade @Anoniem: 135995 • 20 november 2012 11:51

Het is leuk dat elk beestje een naam heeft, maar in de praktijk is dit natuurlijk gelijk: je logt in en krijgt een code op je mobiel. Je voert de code in en de inlog kan doorgaan. Het maakt daarbij niet uit dat een code TAN of PAC heet

Je moet bij een 'onbekende' locatie dus 4 dingen invoeren/weten:
1. login naam (inloggen - uit het hoofd)
2. wachtwoord (inloggen - uit het hoofd)
3. PAC (inloggen - via SMS, je kunt dan alleen in het account rondkijken)
4. TAN (transactie doen - via een tweede te ontvangen SMS, per transactie)
Dus PAC en TAN zijn niet gelijk.

[Reactie gewijzigd door Fireshade op 22 juli 2024 21:37]

ADT_Phantom @Fireshade • 20 november 2012 12:15

Hij doelt erop dat beide een code zijn, die extra moet worden ingevoerd. Wat je met die code doet verschilt inderdaad.

i-chat @Fireshade • 20 november 2012 12:30

tan en pak zijn WEL gelijk... namelijk in Die zin, dat:

ik heb een keylogger, of een database met wachtwoord hashes... (waar de jouwe ook in staat)...

nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...
je wachtwoord hash is op zoveel manieren te achterhalen,

in een hoekje kijken totdat ik je in zie loggen op de bank en dan via vinger vet plekken op je toetsenbord een educated guess, OF een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank.... ...

nu zullen dit soort dingen niet altijd bij iedereen werken, maar als het 2 op elke 10 zijn ben je al snel binnen.

mogelijkheden te over.

Hierover verderdenkend,

die randomreader van de rabo is eigenlijk ook een security factor, ik typ er werkelijks mijn pincode op en hoewel ik er ook ideal codes (random) op moet intypene, weet ik bijna zeker dat er 4 toetsen zijn die meer zijn weggesleten dan de 6 anderen...

daarmee wil ik dus vooral aangeven, dat security wel wat lastiger is dan zomaar even 'niet wille zeggen welke variabelen er gebruikt worden' want als DAT een factor is in je beveiliging dan is er binnekort NIETS meer van dit kaartenhuis over...

Wederom een ING FAAL....

Wim-Bart @i-chat • 20 november 2012 16:04

leuk, dan heb je een TAN code..... En dan..... Na 1 keer gebruiken is deze toch al vervallen.

Aan de andere kant, TAN code via SMS is onveilig. Omdat een gestolen telefoon al toegang geeft tot transacties.

Overigens, veranderd je IMEI nummer van je telefoon bij ING duurt het bijna 2 weken voordat je Telefoon weer gebruikt kan worden. Dus gestolen telefoon, SIM kaart er uit en dan telebanken, is een no go.

Jeroen O @Wim-Bart • 20 november 2012 19:25

Dat is dan zeker nieuw dat van dat IMEI nummer.

Ik heb van de zomer een nieuwe telefoon gekocht en kon daar gewoon mee internetbankieren.

Daarvoor ben ik ook wel eens van telefoon gewisseld zonder dat dit gevolgen had voor het internetbankieren.

Bij de laatste telefoonwissel werd de dienst wel 48 uur geblokkeerd, maar dat kwam doordat ik ook een nieuwe sim-kaart in gebruik had genomen.

DrBashir @i-chat • 20 november 2012 16:08

nu zeg jij dat TAN en PAC verschillend zijn, ik zeg dat ik er maar 1 telefoon voor hoef te jatten...

versus

(...)een exploit in goodkope website waar je wel eens komt en gokken dat je wachtwoord daar het zelfde is bij de bank (...)

Ehm, de eerste is een specifieke aanval gericht op 1 persoon, ja daar kun je de telefoon van stelen, de tweede is een algemene aanval op veel personen tegelijk, lijkt me sterk dat je al die mensen de telefoon/TAN/PAC lijst zal kunnen stelen.

sygys @David Mulder • 20 november 2012 10:22

Hoezo werkt het niet? Stel dat een hacker je bank gegevens ontfutseld. en daarmee dus op ing kan inloggen. dit gaat dus straks niet meer, omdat jij op jou telefoon een sms krijgt dat er geprobeerd wordt om in te loggen. Dan weet je ook direct dat iemand je gegvens hebt en kan er actie worden ondernomen. dit is voor mij een welkome feature!

wel vindt ik dat er duidelijk in de sms moet staan waarom je de code ontvangt, zodat oudere mensen en digibeten weten wat er aan de hand is en het ook snappen.

Naar mijn mening een prima feature!

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.

[Reactie gewijzigd door sygys op 22 juli 2024 21:37]

Croga

@sygys • 20 november 2012 10:39

Ze zouden echter met mobiel bankieren net als de rabo de eerste keer een tan code moeten vragen wanneer geld wordt overgeschreven naar een nieuw rekening nummer. zo kan er nooit willekeurig geld worden afgeschreven naar een vreemde bankrekening met alleen een pincode.

urrrrr.... bij ING moet je voor *iedere* overschrijving een TAN code invoeren. Of het nou om een vreemd bankrekeningnummer gaat of niet.

Huygens @Croga • 20 november 2012 11:04

Niet via de smartphone app. daar kan het zonder tan.
maargoed daar heb je deze PAC ook niet bij nodig lijkt me.

Fireshade @Huygens • 20 november 2012 11:57

Die smartphone telefoonnummer staat dan ook geregistreerd bij ING - daarom hoef je geen TAN meer in te vullen. Lijkt me dan overbodig bij gebruik van de app.
Wil je vanaf een andere smartphone-telefoonnummer kunnen bankieren, dan moet je dat nummer (ook) registreren bij ING.

Wim-Bart @Fireshade • 20 november 2012 16:07

Nog veel leuker, je IMEI zelfs. Probeer maar eens te telebanken met een nieuwe telefoon, dat moet je eerst doorgeven voor je nieuwe telefoon kan gebruiken.

Alex_dragon @Fireshade • 22 november 2012 10:58

Da's leuk, maar er hoeft maar een bankvirusje op je smartphone te staan en je bankrekening loopt leeg.

De reden dat TAN codes bestaan is voor two-factor authentication. Two factor authing is niet alleen handig omdat je dubbel verifieert of een persoon is wie hij/zij zegt dat ze is, maar ook omdat je geen single point of failure hebt, e.g een gehackte computer of smartphone.

Toen TAN codes bedacht werden waren er nog helemaal geen smartphones, tenminste, niet zoals ze er nu zijn. Er werd helemaal niet aan gedacht dat de telefoon wellicht ook gehackt kon worden en de tancodes onderschept konden worden. Echter vandaag de dag is dat niet eens meer zo vergezocht; sterker nog, dat soort malware bestaat al.

Vanuit een beveiligingsperspectief is de smartphone app dus eigenlijk gewoon erg slecht ten opzichte van de website. En daar zijn ze zich ook wel bewust van denk ik, anders hadden ze vanaf het begin wel toegestaan dat je ook mobiel zakelijk kon bankieren. Maar zoals zo vaak gebeurd in de programmeer wereld, je programma word ineens populairder dan je verwacht en omdat je er niet op had geanticipeerd in het originele ontwerp, zit je met een uit de krachten gegroeide applicatie. In dit geval WERKT de applicatie goed, maar is gewoon puur door de design keuzes lek. Of het nog echt een probleem word moet nog blijken.

Anoniem: 118226 @David Mulder • 20 november 2012 10:16

Het is wel degelijk two factor authenticatie. Nu is het zo dat ik met kennis van mijn username/password in kan loggen bij ING. Zomet een heb ik die kennis nodig en komt daar ook bezit bij (of mijn telefoon waarop een code staat, of een lijst met codes).

Franckey @Anoniem: 118226 • 20 november 2012 21:16

Dat was het dus al voor transacties en wordt het nu ook voor inloggen. Maar alleen inloggen (read only toegang) is voor boeven niet spannend. Dus two factor authenticatie op inloggen vind ik niet nodig. Is alleen lastig voor de klant.

mae-t.net @David Mulder • 20 november 2012 15:08

Het TAN-systeem was en blijft two-factor: Iets dat je weet (wachtwoord) en iets dat je hebt of krijgt (TAN). Dat je nu nog iets krijgt verandert daar niets aan, want dat krijg je via dezelfde weg als een TAN.

@keesdewit hieronder: Dat je codes op papier hebt (lees: dat die codes nou nog steeds niet afgeschaft zijn), is in verband met phishing en gebrek aan controlemogelijkheid van de transactie erg vervelend, maar doet in principe niet aan de two factor af. Ik zeg hierboven al iets dat je hebt (papier) of krijgt (sms). Het enige punt waarop de two factor zou vervallen, is als je internetbankiert op dezelfde GSM waar je ook de TAN en transactiecontrole binnenkrijgt. Dan is het systeem gereduceerd tot ongeveer even onveilig als een random-reader en kwetsbaar voor een op de telefoon resp. pc aanwezig stuk malware.

[Reactie gewijzigd door mae-t.net op 22 juli 2024 21:37]

keesdewit @mae-t.net • 20 november 2012 19:51

Het tan systeem met voorgedefinieerde tan codes is niet echt 2 factor. Het is wat je weet (gebruikersnaam/wachtwoord) en wat je weet (reeds beschikbare tan codes). Bij een code via sms moet je op dat moment de beschikking hebben over de gsm van de gebruiker. Dit in tegenstelling tot voorgedefinieerde tan codes die je net zo goed overgeschreven/gekopieerd kan hebben.

[Reactie gewijzigd door keesdewit op 22 juli 2024 21:37]

Plopeye 20 november 2012 10:17

We geven niet alle variabelen prijs", aldus de woordvoerder. Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek.

Doet mij toch denken aan security trough obscurity, oftewel een wassen neus...

Zie ook: http://nl.wikipedia.org/wiki/Security_through_obscurity

ritsaert @Plopeye • 20 november 2012 10:24

Was idd het eerste waar ik aan dacht: security through obscurity -> snake oil.. Dit is inderdaad helaas meestal geen goed teken.

Rafe @ritsaert • 20 november 2012 11:25

Security through obscurity gaat alleen op voor cryptografie, zoals AES. Het is het principe van Kerckhoff: "A cryptosystem should be secure even if everything about the system, except the key, is public knowledge."

Het algoritme van ING om te bepalen of er wel of niet naar een pac-code wordt gevraagd heeft niets te maken met cryptografie. Ze houden geheim welke variabelen worden meegenomen omdat anders een hacker met gemak die beveiliging kan omzeilen door de juiste variabelen na te bootsen. Net zoals Google hun algortime geheim houdt zodat concurrenten het niet afkijken en websites niet op oneerlijke wijze bovenaan de resultaten komen.

CUnknown @Rafe • 20 november 2012 15:49

Zoals Kerckhoff het heeft verwoord gaat het inderdaad enkel om cryptosystems, maar de uitspraak geldt ook zeker voor securityprotocollen waarbij een cryptosystem deel uitmaakt. Het op de verkeerde manier combineren van cryptosystemen in een protocol kan je security namelijk ernstig ondermijnen. Je wilt dan dat dergelijke fouten worden opgemerkt door een publieke peer review of iets dergelijks. De sterkte van de beveiliging moet enkel in de keys zitten, en niet in de meganiek van het protocol.

mcDavid @ritsaert • 20 november 2012 10:29

Dat hoeft helemaal niet. De bank gebruikt een bepaald algoritme om codes te genereren die voor een buitenstaander volledig random lijken, maar voor de bank wel te reproduceren (en dus te controleren) zijn. Het is uiteraard van cruciaal belang dat dat algoritme geheim blijft, anders kan iedereen zijn eigen tan-codes gaan genereren.

Marcks @mcDavid • 20 november 2012 12:09

Nee, het is van belang dat het algoritme openbaar is en geheime waarden als invoer gebruikt, ten eerste doordat een geheime sleutel beter te beschermen is dan het algoritme, ten tweede doordat de veiligheid van een bekend algoritme in het openbaar getoetst kan worden en ten derde doordat de veiligheid in het geding is wanneer deze gedeeltelijk afhangt van informatie die de aanvaller niet mag weten, maar niet als geheim verondersteld mag worden.

Anoniem: 204567 @Plopeye • 20 november 2012 11:01

Oei ja... als de veiligheid (mede) afhankelijk is van dat de woordvoerder bepaalde dingen niet lekt (en wat dus honderden anderen in dat bedrijf ook weten), dan wordt die info natuurlijk gegarandeerd alsnog wel bekend binnen afzienbare tijd.

Fairy @Plopeye • 20 november 2012 10:25

Dat was het eerste waar ik ook aan dacht. Heel gevaarlijk, uitgaan van het feit dat men niet weet hoe de beveiliging werkt, dat het daarvoor veilig zou zijn.

dormamu @Plopeye • 20 november 2012 10:26

Of gewoon een benodigd beveiligingstap zie two-factor authentication:

zie ook: http://en.wikipedia.org/wiki/Two-factor_authentication

morphje 20 november 2012 10:20

Waarom de variabelen geheim houden? Security by obscurity is altijd al een slechte methode geweest. Alsof een goede bankleegtrekker niet heel erg snel door kan hebben wat de variabelen zijn? De enigen die in het ongewisse worden gehouden zijn de normale klanten en er zijn genoeg onafhankelijke, onbetaalde security mensen die met plezier hier hun mening/ideeen over willen geven.

Anoniem: 326943 @morphje • 20 november 2012 10:48

Waarom zou je als bank openbaar maken hoe je systemen werken?

Wat heb je aan adviezen van onbetaalde "experts" er is een reden dat ze geen geld verdienen met hun kennis, ze zijn niet goed genoeg.

Anoniem: 204567 @Anoniem: 326943 • 20 november 2012 11:03

Oh ja, vandaar dat alle solide betrouwbare security-algoritmen en veiligheidsprotocollen allemaal open source zijn.

Of als een onbetaalde "expert" je op een lek wijst, dan is het niet waar. Zoiets?

Rutix @Anoniem: 204567 • 20 november 2012 11:19

Dus? Ze zullen hier heus ook wel opensource security-algorithmen gebruiken maar ze gaan niet vrijgeven hoe het hele systeem in elkaar zit. En generieke systemen zijn wel heel wat anders dan specialistische systemen die gebruik maken van die generieke systemen.

Met je laatste opmerking ben ik het wel eens. Onbetaalde experts kunnen ook betaalde experts zijn maar die vinden een lek in hun vrije tijd bijvoorbeeld. Dus de opmerking die albert7546 maakte over dat ze niet goed genoeg zijn is onzin.

Franckey @Anoniem: 326943 • 20 november 2012 21:27

Een goede beveiliging is niet onveiliger als bekend is hoe die werkt.

Buggle @morphje • 20 november 2012 10:40

Dezelfde vraag kunnen we ook omdraaien: waarom zou je dit wel vertellen? Wie heeft er baat bij dat dergelijke beveiligingsmaatregelen tot in de details uitgelegd worden? Als de oplossing gewoon goed in elkaar zit maakt het geen donder uit of ze het nou wel of niet willen vertellen. Ik vind het niet meer dan logisch dat hij het niet wil vertellen; ik zou dat ook niet willen vertellen, en als ik klant van ING zou zijn zou ik ook niet willen dat die meneer dat vertelt.

Rutix @morphje • 20 november 2012 10:47

Omdat je niet altijd alles hoeft vrij te geven? Google geeft ook niet vrij wat alle variabelen zijn bij hun two-factor authenticatie. Ik vind dat er te snel de conclusie word getrokken: "Ze doen aan Security by obscurity". Dit hoeft natuurlijk helemaal niet, aangezien je soms dingen gewoon voor de zekerheid geheim wilt houden. En natuurlijk zouden ze feedback kunnen krijgen van publieke mensen maar wie zegt dat ze eerst niet op de achtergrond meerdere experts naar hebben laten kijken? (En die betaald dat hebben gedaan).

Anoniem: 415197 @Rutix • 20 november 2012 12:21

Bovendien, kom op zeg, het is 2012, iedereen weet dat security by obscurity geen goed idee is. Dat weten die professionals van de ING ook wel. Dit is een beetje alsof je aan een wasmachinemonteur vraagt of hij al geprobeerd heeft om de stekker in het stopcontact te steken.

fjux 20 november 2012 10:17

"Hoe het systeem precies werkt, wil de bank niet kwijt. "Ik ga niet vertellen hoe het werkt", aldus Heijbroek."

Is dit niet een typisch idee van, ik vertel niet hoe het werkt dus is het vast wel veilig. Mij lijkt het juist als bank zijnde dat je wilt dat je systeem zo veilig mogelijk is en niet dat het achteraf in eens blijkt dat je hele systeem niet veilig is.

Overigens vind ik persoonlijk het TAN systeem nogal achterhaald. andere banken zoals Rabo en ABN zijn al over op een random reader/identifier. Waarom ING niet?

Jeroenneman @fjux • 20 november 2012 10:28

Omdat dat ruk is ?

Oh , bah , heb ik mn random reader weer niet bij .

Bij de ING : Telefoon: check .

Ik ken zelfs mensen die ervoor over zijn gestapt , zelf zou ik ook nooit naar zon omslachtig systeemwillen , dit werkt prima en snel .

Haas_nl @Jeroenneman • 20 november 2012 12:54

Bij ASN kan je gewoon van je eigen rekeningen overschrijven naar je andere rekeningen zonder code, maar met alleen je wachtwoord.
Gezien dat erg vaak gebeurt is dat toch echt wel een groot voordeel.

Flagg @fjux • 20 november 2012 10:28

Hou ff op, ING werkt juist prima zonder zo'n onzinnige random reader, mijn vriendin zit bij de Rabo en zit altijd te vloeken op dat die random reader, ook handig was dat ie een keer op vakantie de geest heeft gegeven. (when it rains it pours)

Nee ING is juist makkelijk en volgens mij prima veilig, tenzij je uiteraard te dom bent om internetbankieren te kunnen gebruiken om vervolgens willekeurig mensen je login en tan gegevens gaat verstrekken. En dan zielig te gaan doen op nationale tv (Kassa) dat de bank jou domheid niet gaat compenseren.

Die randomreader is juist achterhaald en ontzettend ongemakkelijk, zeker als je dat ding continu moet meezeulen.

croxz @fjux • 20 november 2012 10:29

Persoonlijk vind ik dan weer niet die apparaatjes niet handig in gebruik. Mobiel heb ik altijd bij me en inlognaam en wachtwoord ken ik uit mijn hoofd. Ik kan daarmee of op mijn mobiel of elke pc altijd saldo zien en betalingen verrichten. Daar is geen extra apparaatje (dat je nooit bij je hebt of altijd naar moet zoeken) en betaalpas voor nodig. Qua veiligheid lijkt me de random reader beter, maar qua gebruiksgemak is het systeem van de ING onovertroffen.

Gamebuster @fjux • 20 november 2012 10:55

Omdat als ING overgaat op zo'n #$%^#$% reader, ik geen ING klant meer ben en op zoek ga naar de volgende bank die werkt _zonder_ readers.

pakka680 20 november 2012 10:08

Het artikel lezend vraag ik me af of het om een computer of over het IP adres gaat waar nog nooit eerder van geinternetbankierd is.

Buggle @pakka680 • 20 november 2012 10:34

Ik mag hopen dat dat niet het geval is, aangezien ik bijvoorbeeld een dynamisch IP adres heb dat regelmatig verandert (iets wat ik kan zien aan de vele veranderde DynDNS entries).
Dat zou betekenen dat ik steeds zo'n pac in zou moeten voeren.

Mij lijkt het waarschijnlijker dat ze gebruik maken van de locatie van IP ranges, waar vaak een bepaalde regio bij hoort. Een en ander kan aangevuld worden met de fingerprint van de browser (versienr., versie, OS, geinstalleerde plugins) en cookies.

Grrrrrene

@Buggle • 20 november 2012 10:43

Behalve je problemen met een dynamisch IP zou dat ook beteken dat iemand die toch al jouw bankgegevens heeft alleen nog op je netwerk hoeft in te breken om toch weer toegang te krijgen tot je internetbankieren.

Anoniem: 204567 @Grrrrrene • 20 november 2012 10:57

Nou ja, da's natuurlijk nog altijd een stuk beter dan iemand die toegang heeft tot je bankgegevens en niet op je netwerk hoeft in te breken.

guapper @pakka680 • 20 november 2012 10:17

Of beiden, maar daarover wil de ING dus niets kwijt.

Lijkt me trouwens dat je dit makkelijk zelf kunt testen vanaf volgende week..

sygys @guapper • 20 november 2012 10:26

Ik denk dat er ook gekeken wordt naar de provider je browser versie e.d. Je kunt veel te weten komen via de browser...

ScoeS 20 november 2012 10:12

Ik ben benieuwd hoe ze het kaf van het koren willen gaan scheiden qua inlog pogingen.

Ik heb de hele zomer door Europa overal op de iPad m'n Gmail fatsoenlijk kunnen bekijken, pas in Kroatië kreeg ik op een "backup" e-mailadres een mail van Google over een "dubieuze" inlog poging vanaf de zelfde iPad. Kennelijk dus omdat het om een Kroatisch mobiel IP-adres ging.

Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.

masteriiz @ScoeS • 20 november 2012 10:17

mobiel bankieren kan mij niet veilig genoeg zijn

Wat mij betreft zit daar toch wel een grens aan. Het moet natuurlijk wel gemakkelijk en bruikbaar blijven.

Buggle @masteriiz • 20 november 2012 10:37

Je kunt er denk ik toch ook vanuit gaan dat ze het systeem vooral toepassen op regio's waar dit soort criminaliteit vaak voorkomt. Als je weet dat voornamelijk Roemenen en Bulgaren skimmen bijvoorbeeld, kun je je focus als beschermingsmaatregel ook vooral op die landen concentreren. Ik kan me goed voorstellen dat het verdachter is een nieuwe inlog in Kroatië te hebben dan op het patteland in België, om maar wat te noemen.

tweaker2010 @Buggle • 20 november 2012 10:58

Juist, dat vermoed ik ook. Sinds kort worden pinpassen in het buitenland standaard geblokt en moet je ze vrijgeven als je bijvoorbeeld op vakantie gaat. Voor online bankieren werkt dat natuurlijk niet en is dit een volgende stap om deze steeds toenemende fraude tegen te gaan.

Franckey @masteriiz • 20 november 2012 21:26

Schijnveiligheid is ook gevaarlijk. Deze aanpassing van ING maakt het systeem volgens mij niet veiliger dan het al was. Er was al two factor authenticatie voor transacties en dat gaan ze nu ook doen bij het inloggen.

ATS @ScoeS • 20 november 2012 13:55

Verder lijkt me dit een hele goede zaak, mobiel bankieren kan mij niet veilig genoeg zijn.

Het is altijd een afweging tussen risico en gebruikersgemak. Als je het ultiem veilig maakt, dan is de beste oplossing het onmogelijk maken van elke transactie. Gewoon naar de balie komen in persoon met legitimatie, je bankpas, geheime codes, iris scans, vingerafdruk en voice recognition (ofzo), en pas dan kan je dat tientje overmaken naar je vriend om je barrekening van de vorige avond te voldoen. Of is dat toch niet zo heel handig?

Banken nemen gewoon bewust een risico op misbruik. Dat is ingecalculeerd. Als er misbruik gemaakt wordt van het inloggen, dan vergoedt de bank de schade. Dat kost veel minder dan een stringentere beveiliging kost in termen van kosten van die beveiliging plus de kosten van weglopende klanten omdat ze je rekening niet handig te gebruiken vinden.

mcDavid 20 november 2012 10:16

Ik ben onder het motto "verbeter de wereld, begin bij jezelf" afgelopen jaar overgestapt naar Triodos, maar ik moet zeggen dat ik de ING qua gebruiksvriendelijkheid ernstig mis! Die betaal-app werkt geniaal en internetbankieren was ook way makkelijker. Sinds die stomme random-reader van triodos kijk ik nauwelijks nog op mijn rekeningoverzicht, gewoon omdat het irritant is.

Anoniem: 204567 @mcDavid • 20 november 2012 10:59

Je kunt bij Triodos ook toegang krijgen via een login + password toch? (althans op bankieren.triodos.nl staat die optie er wel)

mcDavid @Anoniem: 204567 • 20 november 2012 12:10

Dat is alleen mogelijk als je alleen een spaarrekening hebt. Zodra je ook een betaalrekening hebt zit je aan die randomreader vast.

Waar ik mij trouwens nog het meest aan irriteer is dat de cijfers op de randomreader precies andersom staan als op een pin-terminal. Lekkere usability-flaw.

Op dit item kan niet meer gereageerd worden.

ING schakelt two-factor-authenticatie in bij inloggen

Lees meer

IT-banen

Reacties (162)

Sorteer op:

Weergave: