Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 73 reacties
Submitter: Frigolamptje

ING België heeft zijn Smart Banking-app voorzien van ondersteuning voor vingerafdrukherkenning via Apples TouchID. Klanten met een iPhone kunnen inloggen met TouchID, zonder dat ze hun wachtwoord hoeven in te voeren.

ING België claimt de eerste Belgische bank te zijn die biometrie in een mobiele app integreert. Klanten in het land met een iPhone 5s, iPhone 6 of iPhone 6 Plus kunnen de TouchID-functionaliteit gebruiken om in te loggen bij de ING Smart Banking-app. Ze hoeven dan alleen hun vingerafdruk te laten scannen en hoeven geen wachtwoord meer in te voeren.

Volgens ING België maakt 27 procent van de Belgen gebruik van mobiel bankieren. De mobiele app zou in de eerste drie maanden van het jaar 57 procent van de onlinebanksessies voor zijn rekening hebben genomen en Belgen zouden per dag gemiddeld meer dan vijf keer inloggen op de mobiele app, tegen 2 tot 3 keer voor de tablet en 1 tot 2 keer voor de computer.

Of ook ING Nederland TouchID-ondersteuning toevoegt aan zijn mobiele app is niet bekend. De bank kon hier nog niet op reageren tegenover Tweakers.

ING Belgie mobiele app

Moderatie-faq Wijzig weergave

Reacties (73)

Wat er niet in het artikel staat, maar wat net zo belangrijk is,
ING laat klanten NIET opdrachten verzenden op die methode.
Is het niet gemakkelijk om een vingerafdruk te reproduceren? Of werkt deze scanner ook met warmte, bloedstroom registratie of iets dergelijks?

edit: dit bedoel ik dus; http://www.ccc.de/en/updates/2013/ccc-breaks-apple-touchid

[Reactie gewijzigd door TitusV op 26 november 2014 16:01]

Voor elke beveiligingsoptie is er altijd wel één Tweaker die ergens in een vakblad heeft gelezen dat het theoretisch mogelijk is om de beveiliging te omzeilen.

Maar daar gaat het ING natuurlijk niet om, het gaat om de combinatie van beveiliging én gebruiksgemak. En aangezien een vingerafdruk zowel makkelijker als veiliger is als een wachtwoord is dit win-win.

Wellicht kun je ook vingerafdruk én wachtwoord instellen. Dat zou nog veiliger zijn uiteraard! Leuke ontwikkeling, we wachten af voor NL (en de andere banken).
In tegenstelling tot je pincode laat je je vingerafdrukken overal achter, ook op je telefoon ;) Met de juiste spullen zijn die dus simpel te verkrijgen.
Ik zou echt nooit op een vingerafdrukscanner alleen vertrouwen.

[Reactie gewijzigd door evilution op 26 november 2014 16:10]

Zo simpel is dat helemaal niet.

"Just like its predecessor, the iPhone 6's TouchID sensor can be hacked. However, the sky isn't falling. The attack requires skill, patience, and a really good copy of someone's fingerprint - any old smudge won't work. Furthermore, the process to turn that print into a useable copy is sufficiently complex that it's highly unlikely to be a threat for anything other than a targeted attack by a sophisticated individual." [Bron][Bron 2]

Uiteindelijk is alles te kraken met veel geduld, of het nou een vijf-cijferige code is of een vingerafdruk. Het grote nadeel van een PIN is dat deze makkelijk is af te kijken. Daarnaast zijn deze PIN codes nooit random.

[Reactie gewijzigd door Safaci op 26 november 2014 16:18]

Ook belangrijk: biometrische identificatiemiddelen zijn beperkt te wijzigen (je bent ooit door je vingers heen), met wachtwoorden of fysieke spullen (bijv. token) is dat veel makkelijker.
Ik durf er veel op in te zetten dat ik meer vingers heb dan de gemiddeld gebruiker wachtwoorden in zijn hele leven.
Waar ben je bang voor? Dat iemand jouw vingerafdrukken + telefoon jat om toegang te krijgen tot jouw bankrekening? Om er vervolgens achter te komen dat jij de rekening en telefoon al lang geblokkeerd hebt in de uren die hij kwijt was om de gejatte vingerafdruk op een soort nepvinger aan te brengen?

"Ik zou echt nooit op een vingerafdrukscanner alleen vertrouwen."

Slaat nergens op...
Zou wel kunnen. We leven niet allemaal met de smarphone continue in de hand of aan het oor. Die van mij ligt regelmatig een dagje in de tas, als ik aan het werk ben bijvoorbeeld. Dan kan het zo zijn dat je hem pas na een uurtje of 8 mist.
In 8 uur heb je de rekening al leeg gehaald met een beetje voorbereiding.
Vingerafdrukken zijn NIET veiliger dan wachtwoorden. Ga jij je wachtwoord maar eens wijzigen als die gecompromitteerd is en probeer het daarna maar eens met je vingerafdrukken die je WEL overal achterlaat.

Vingerafdrukken gebruiken IS schijnveiligheid!
Hoeveel mensen kunnen een wachtwoord afkijken en intypen? Iedereen.

Hoeveel mensen kunnen een vinger afdruk kopiëren, reproduceren en daarna gebruiken? Een enkeling.

En mocht je vingerafdruk om een of andere reden toch gecompromitteerd zijn: ik heb 10 vingers met 10 verschillende afdrukken. Jij ook, denk ik.

edit: zie ook wat Safaci post:
"Just like its predecessor, the iPhone 6's TouchID sensor can be hacked. However, the sky isn't falling. The attack requires skill, patience, and a really good copy of someone's fingerprint - any old smudge won't work. Furthermore, the process to turn that print into a useable copy is sufficiently complex that it's highly unlikely to be a threat for anything other than a targeted attack by a sophisticated individual."

[Reactie gewijzigd door ApexAlpha op 26 november 2014 16:33]

Je vergeet dat een wachtwoord doorgaans op elk apparaat gebruikt kan worden. Een vingerafdruk alleen op jouw iPhone. Dat maakt het een stuk veiliger; het is namelijk een vorm van two-factor authentication:
Factor 1: telefoon (what you have)
Factor 2: vingerafdruk (what you have)
Twee keer what you have is minder goed dan ook een what you know... Steeds gaat iedereen voorbij aan het grote gebrek dat wijzigen heet. Als je vingerafdruk gecompromitteerd is kan je die niet wijzigen...
Ja, dus? In de praktijk is het zodanig lastig om een vingerafdruk na te maken en een iPhone voor de gek te houden, dat het een minder grote drempel is om iemand te chanteren en een pistool tegen z'n hoofd te zetten. Daar gaat het om.

Daarnaast: hoe lang heb jij al dezelfde pincode? Ik denk dat 9 van de 10 mensen al heel hun leven dezelfde pincode heeft. Een pincode die en plain public tientallen keren per jaar eenvoudig afgekeken kan worden. Een pincode afkijken is vele malen eenvoudiger dan een vingerafdruk namaken, toch lees ik in de kranten geen berichten meer van pincodes die massaal worden afgekeken waardoor mensen hun geld kwijt zijn (skimming is verleden tijd).

Waarom is dit? Omdat een pincode óók een vorm is van two-factor authentication. Pincode + pas is wat je nodig hebt. Sinds de invoering van het chip pinnen (EMV) is skimming onmogelijk geworden, waardoor de pincode waardeloos is gebleken indien je geen beschikking hebt over de fysieke kaart. Sindsdien is er nauwelijks fraude meer met betaalpassen.

Dus stel jezelf de vraag: hoe kritisch is de vingerafdruk of pincode nou écht voor de veiligheid van een transactie? Mijns inzien niet heel erg. Dat blijkt ook wel; waarom zijn de eisen aan een wachtwoord voor een willekeurige webshop strenger dan de pincode van je betaalpas die je elke dag gebruikt. Is dat omdat de banken dom of lui zijn? Ik denk het niet.

Dus ja, in theorie zijn je bezwaren gegrond. In de praktijk blijkt echter dat door je enkel te focussen op de vingerafdruk aan tunnelvisie doet waardoor je de gehele veiligheidsketen vergeet in ogenschouw te nemen. En als je dat wel doet, dan blijkt dat een vingerafdruk maar een klein onderdeel is van alle veiligheidsmaatregelen die genomen worden.

[Reactie gewijzigd door MarcoC op 27 november 2014 09:33]

Bij TouchID heb je steeds maar 4 kansen. Wanneer deze na 4 keer je vinger nog niet correct kan lezen, moet je sowieso een code opgeven. Dus redelijk makkelijk omzeilen is relatief. Je moet al heel wat moeite doen om een vingerafdruk na te maken.
Er is geen bloedstroom controle oid. De beveiliging is ook redelijk gemakkelijk te omzeilen. Waarschijnlijk is dat de reden dat je geen opdrachten mag sturen met de vingerafdruk.

[Reactie gewijzigd door m3gA op 26 november 2014 16:06]

Meegluren over iemand z'n schouder om een vier-cijferige code te zien is ook niet echt moeilijk. Apple heeft in iOS8 trouwens de fingerprintscanner softwarematig een serieuze upgrade gegeven. Het is niet meer zo simpel om een vingerafdruk te copy-pasten (maar zeker nog steeds mogelijk).
Ik zou ook zeker mijn bankzaken niet regelen in het openbaar. En al heb ik de SNS app op mijn mobiel, ik gebruik ten alle tijden de digipas om geld zaken te regelen. Een stuk veiliger dan vingerafdrukken. Maar wel mooi dat Apple Touch-ID heeft opengesteld voor ontwikkelaars. Het is toch een stukje gemak.
Ik gebruik het regelmatig voor kleine overschrijvingen. Zelfs als ik bij de supermarkt sta en even wat geld op een rekening wil zetten om te kunnen pinnen.

TouchID is een leuke toevoeging voor het inloggen, maar het maakt niet zoveel uit als je vervolgens alsnog je code in moet voeren voor een transactie.
ING gebruikt voor hun app 5-cijferige codes
Bij mij is dat toch wel een 6-cijferige code
Bij mij niet. Laten we het dan op meer dan vier houden.
Doe maar 5 cijfers ;)

https://www.ing.nl/partic...%2FAanmelden+%26+Inloggen
11.
Waar moet de mobiele pincode aan voldoen?
Bij de ING kiest u zelf uw mobiele pincode.
Voor uw veiligheid moet deze aan een aantal voorwaarden voldoen.
Uw mobiele pincode bestaat uit 5 cijfers.
Deze mogen niet op- of aflopend zijn (bijvoorbeeld 12345 of 54321). En ook niet allemaal hetzelfde (dus geen 00000 of 77777).
Wij raden u aan geen voor de hand liggend wachtwoord te kiezen, zoals uw geboortedatum of telefoonnummer.
Hiermee voorkomt u dat de mobiele pincode te gemakkelijk te raden is.

[Reactie gewijzigd door paulvdwal op 27 november 2014 09:24]

We hebben het hier wel over de Belgische app, die wel 6 tekens gebruikt.
Hij kijkt naar verschillende zaken en het moeten zelf geen vingers zijn. Je kan unlocken met je neus bv.
De 100en mensen die dit lezen zitten nu met hun neus tegen hun iPhone gedrukt. Prachtig! :9
mwa, wat is makkelijk. Hoe makkelijk is om iemands 5 cijferige pincode (wat nu gebruikt wordt in de ING app) te ontfutselen of af te kijken? Niet veel simpeler of ingewikkelder denk ik eigenlijk. Volgens mij maakt het qua veiligheid niet zo heel veel uit.
Het invoeren van een pincode kan je wel degelijk voor jezelf houden, en dat hoeft alleen op het moment dat je het nodig hebt. Je vingerafdruk (ja is zeer lastig na te maken), laat je overal achter, ook als je niet bezig bent met inloggen in je ING app...

Zo simpel is het dus niet, ik ga mijn ING code ook niet invoeren als iedereen mee kan kijken, dus nee, niemand kan mijn code afkijken, daar kan ik gewoon op letten...

Daarmee zeg ik overigens niet dat het ene beter is dan het andere, ieder zn meug maar er valt bij mij sowieso weinig te halen met of zonder vingerafdruk :P

[Reactie gewijzigd door watercoolertje op 26 november 2014 17:29]

Een vingerafdruk is een prima veiliger vervanging voor een wachtwoord. Zeker als je bedenkt dat veel mensen doorgaans zo makkelijk mogelijke wachtwoorden verzinnen die nog worden toegelaten.

Het is een stuk makkelijker om 'wachtwoord123' te bruteforcen dan iemands vingerafdruk moeten bemachtigen (waarschijnlijk meerdere om er één gehele afdruk van samen te kunnen stellen), dat dan uit te voeren in een of ander materiaal dat op een vinger lijkt en dat dan ook nog goed genoeg te doen om TouchID om de tuin te leiden.
Dat is dus juist allemaal niet het geval. Als je de telefoon te pakken hebt van iemand heb je het device en de vingerafdruk.

Je hebt gelijk dat een PIN makkelijk te bekijken is als je even op let. Maar een PIN kan gewijzigd worden als deze afgekeken is. Je vingerafdrukken kan je niet wijzigen!
Alleen als je veel geluk hebt kun je een goede vingerafdruk op een device vinden. De meeste zullen de verkeerde vingers, halve afdrukken, onder rare hoeken of vegen zijn. Daar moet je dan een goede uit samen kunnen stellen en daarna heb je maar vier pogingen om het goed te doen. Vier keer de verkeerde afdruk tegen TouchID houden en je moet alsnog een code invoeren.

Erg makkelijk is het dus niet.
Als dit onbetwistbaar is (wat ik dus niet weet) heb je hier een overtuigende reden om die vingerafdruk te willen gebruiken voor de app.
Samen met het eerder aangevoerde argument dat alleen een enkeling de skills heeft.
(ik reken wel even alle criminelen mee en vraag me dan nog af of het woord enkeling wel op gaat)

Maar het gebruiksgemak gaat imo alleen echt vooruit als je ook zo kan betalen naast het inloggen.
Dan nog kan het nagemaakt worden als je materiaal gebruikt wat warmte doorlaat ;)
Het is mogelijk, maar het zou ontzettend veel tijd kosten om het voor elkaar te krijgen. een gereproduceerde vingerafdruk is dus niet iets waar ik mij zorgen om zou maken.
Het is makkelijker om een cijfer-code af te kijken dan een vingerafdruk te reproduceren.
Een vingerafdruk reproduceren is idd niet zo moeilijk (in theorie, de meeste mensen zullen dit niet in de praktijk kunnen). Echter kost het zo'n 30 minuten om TouchID te kraken. In die tijd heb ik al internettoegang geregeld en mijn iPhone remote gewist.

Persoonlijk acht ik het risico verwaarloosbaar.
Mooi. Kan niet wachten totdat NL banken dit ook voor hun apps implementeren.
Idd, verbaas me er sowieso over dat ze beiden hun eigen app hebben.. Lijkt me een stuk efficienter om die efforts te combineren..
De achterliggende systemen zijn compleet anders, dus daar schiet je niet zoveel mee op.
Compleet anders? De een praat via HTTPS en de andere doet een SFTP file transfer?
Nee, het één is het systeem van de Bank Brussels Lambert die in 1998 ING Belgique SA is gaan heten en het ander is het mooie conglomeraat van de Postbank en de Nederlandse ING Bank dat sinds 2009 ING heet.

Grote kans dat HTTPS de enige overeenkomst is...
Dan is het de vraag waarom de achterliggende systemen helemaal anders zijn? Zowel BE als NL gebruiken de Euro en SEPA. Ik kan me inbeelden dat de wetgeving hier en daar wat zal verschillen, maar ik betwijfel of het in stand houden van twee losstaande systemen (zeker als er een Europese bankenunie komt) slim is.
Die achterliggende systemen zijn soms wel tientallen jaren oud. Dat er een tijdje geleden een SEPA schilletje aangeplakt zit voor externe transfers wil natuurlijk niet zeggen dat alle banken dezelfde platformen hebben.

Sowieso heeft ieder land haar eigen systeem voor het verwerken van intern betalingsverkeer, in Nederland is dat Equens, in Belgie volgens mij ELLIPS. Daar bovenop komen dus nog custom build systemen die ooit speciaal voor die bank gebouwd zijn, in het geval van ING België zal een deel nog stammen uit de tijd dat hij Bank Brussel Lambert heette, voordat ING hem overnam.

Kortom, er zijn op een aantal niveau's verschillen denkbaar tussen ING Nederland en ING België.

[Reactie gewijzigd door Maurits van Baerle op 26 november 2014 17:49]

Daarvoor hebben ze API's en het facade pattern uitgevonden. Dat de systemen anders zijn hoeft niet te betekenen dat de apps niet tegen eenzelfde interface aan kunnen praten.
De ING is bezig met een "common API" om dit soort dingen inderdaad mogelijk te gaan maken. Laatst hebben we nog een hackaton gehad in Nederland om met die common api te spelen. Een van de APIs was geld overmaken. Mijn team heeft toen van Nederland naar Spanje overgemaakt met een robot die je via spraak / touch kon aansturen. (hey, we zijn nerds.. ;-)

Ja, klinkt niet als rocket science, maar we hebben wat "legacy". :-)

[Reactie gewijzigd door wouterd op 26 november 2014 21:05]

Alsnog is een app niets meer dan front-end. Geen reden om te verschillen.
Ze zouden beter Windows Phone 8 eens ondersteunen ipv gimmicks toe te voegen.
Waarom zou je veel geld steken in een platform wat niet zo veel gebruikt wordt? (ik heb niets tegen Windows Phone, heb er zelf ook 1 naast mijn Android phone, maar zakelijk gezien kan ik met het heel goed voorstellen dat Windows Phone niet de hoogste prioriteit heeft).

[Reactie gewijzigd door GJvdZ op 26 november 2014 18:42]

In België is WP vrij populair hoor. In mei was 12% van de verkochte smartphones een WP:
http://datanews.knack.be/...rticle-normal-297045.html

En dat terwijl de iPhone een marktaandeel heeft van 19%.
We spreken hier uiteraard wel over de verkochte toestellen. De toestellen die nog in circulatie zijn houden ze hier buiten beschouwing. Dit cijfer zal uiteraard een ander beeld geven, maar dit ik hoef er geen tekeningetje bij maken wat er zal gebeuren als deze trend een tijdje blijft voortduren.

Maar ik begrijp je mening wel. Je kan een business case conservatief of innovatief opmaken. KBC heeft al lang een WP app en zag het dus als een meerwaarde om de eerste te zijn (kan zelf een tactiek zijn om klanten te winnen / houden). Belfius gaat op de kar springen (zij lanceren er eentje begin volgend jaar) dus lijkt het dan ze WP duidelijk aanzien als een blijver.

Overigens, de prijs om een banking app (voor 1 platform) te ontwikkelen ligt rond de ¤50.000 tot ¤100.000 (voorwaarde dat de API's enz al bestaan).
Jammer dat je je vingerafdruk niet kan veranderen en daarbij iets is dat je overal laat slingeren :+
Ik daag je bij deze uit mijn telefoon te kraken met die vingeradrukken die ik overal heb laten slingeren :) En dan wens ik je vooral success met het vinden van een vingerafdruk die genoeg detail heeft om mijn telefoon te kunnen unlocken.

[Reactie gewijzigd door t1mmy op 26 november 2014 16:13]

Ik ben bang dat je van een koude kermis thuis gaat komen. Als iemand je vingerafdruk eenmaal hebt kan je hem daarna nooit meer gebruiken voor beveiliging. Maar een PIN of een wachtwoord kan je wijzigen... Dat vergeet iedereen steeds maar weer!
Waarom zou je hem nooit meer kunnen gebruiken? Er zijn mensen die de pin-code weten van m'n pinpas. Dat betekend niet dat ik deze code nooit meer voor iets anders kan gebruiken.

Voor wachtwoorden snap ik het nog, maar ook al zou er zoiets zijn als een rainbow-table voor vingerafdrukken kan je die niet echt in de praktijk gebruiken.

[Reactie gewijzigd door fsfikke op 26 november 2014 17:35]

Als iemand jouw vingerafdruk heeft nagemaakt dan kan hij die voor alles gebruiken waar jij hem ook voor gebruikt.
Als iemand mijn wachtwoord van Tweakers heeft kan hij die gebruiken tot ik mijn ww heb veranderd.
Bij vingerafdrukken kan je het niet wijzigen dus die kopie kan voor alles gebruikt worden waar jij ook vingerafdruk authenticatie toepast. Dus of je gebruikt vanaf dat moment geen vingerafdruk authenticatie meer en stapt over op wachtwoorden of je bent onwetend en waant je veilig...
Met als grote verschil dat een hacker vanuit China met jouw wachtwoord wel in kan loggen op Tweakers.net, maar met een kopie van jouw vingerafdruk nog steeds niet jouw telefoon kan unlocken.
@Tweaker1234 Applicaties kunnen niet bij de vingerafdruk komen. Daarnaast wordt er alleen een wiskundige representatie (een hash) van je afrduk opgeslagen op de A7/A8 processor.
Sowieso staat de vingerafdruk niet op je toestel, dat zou veel teveel overbodige data zijn. Er wordt een beperkt aantal punten uit je vingerafdruk genomen en die punten worden dan weer in een hash opgeslagen. Je kunt dus nooit een vingerafdruk uit het apparaat halen, hij zit er niet in.
Nu nog Apple pay implementeren!
Dit is een heel goed idee, zo word die vingerafdrukscanner erg goed benut. Ik vind wel dat je daarna gewoon nog je pincode moet invullen. Die scan gebruiken voor extra veiligheid in plaats voor vervanging van de pincode.
Briljant dit, laten we hopen dat ING Nederland snel volgt! Nu ook de telefoons groter worden is het nóg makkelijker om een PIN code af te lezen van een scherm. Om je vingerafdruk te krijgen moeten mensen redelijk wat moeite doen en om Touch ID voor de gek te houden helemaal, dan moet er wel behoorlijk wat te winnen vallen.

Ik juig dit soort ontwikkelingen alleen maar toe en zoals @sanderenzo zegt alleen nog even Apple Pay implementeren en ik wordt helemaal gelukkig. (Voor bedragen boven de ¤25 want dat contactloos betalen werkt prima)
Ik zou het niet erg vinden om mobiel betalingen te kunnen doen dmv mijn linkerwijsvinger + rechterwijsvinger + pincode: Zolang ik de "randomreader" thuis kan laten is het een winner.

(ja ik weet dat de ING met tan-codes werkt, vind ik ook niet alles, maar wel praktischer)

[Reactie gewijzigd door z1rconium op 26 november 2014 17:59]

Een externe app weet niet welke vinger gescand is, alleen dat er een geautoriseerde afdruk succesvol gescand is.
Nou ja, twee verschillende vingerafdrukken dan. Toch een extra beveiliging.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True