[ archief ] Klanten kwetsbaar door nieuwe beveiliging Mijn ING

[Mk]

Citaat van de ING website (de link die in deze topic genoemd wordt)

Er zijn bedrijven actief op internet die uw betaling voor aankopen op internet via hun eigen website geleiden. Daarbij wordt u gevraagd uw gebruikersnaam en wachtwoord op de site van het bedrijf in te vullen zonder dat u doorgestuurd wordt naar Mijn ING. Doe dit nooit. De ING kan de veiligheid van uw gegevens niet garanderen als u uw gebruikersnaam en wachtwoord achterlaat op andere sites dan Mijn ING. Op basis van artikel 2.5 Voorwaarden Mijn ING is dit ook niet toegestaan en deze bedrijven hebben hiervoor geen overeenkomst met ING afgesloten. Voor eventuele schade die hieruit voortvloeit kan de ING op grond van artikel 5.5 Voorwaarden Mijn ING niet aansprakelijk worden gesteld.

Ook bij de zogenaamde gratis digitale huishoudboekjes op internet, zoals cashflow online cashflow.nl moet je je gebruikersnaam en wachtwoord van mijning.nl plaatsen om de gegevens in te laden. ING is erg onduidelijk of dit soort services ook onder de genoemde soort bedrijven valt. ING zegt dus op hun site geen overeenkomst met commerciele bedrijven zoals Cashflow te hebben, maar ze verkopen wel de pc-software van Cashflow. Vreemd. Bovendien is onduidelijk of bovenstaande ook geldt voor andere digitale huishoudboekjes waar je ook je gebruikersnaam en wachtwoord van ING moet achterlaten. ING´s eigen TIM wat ze dit jaar lanceren is dus eigenlijk in strijd met hun eigen regels. Opmerkelijk. Misschien zou dat webcareteammeneertje dat eens uit willen leggen. Is bovenstaande citaat van de ing-website wel of niet van toepassing op de Digitale online huishoudboekjes zoals cashflow.nl en dus ook straks op TIM of niet

Volgens mij staat er toch heel duidelijk dat dat van toepassing is op alles wat niet MijnING is. Voor TIM kan dat 2 dingen betekenen; of het wordt onderdeel van Mijn ING, of ze passen de voorwaarden aan... (overigens vraag ik me af of ING de cashflow software verkoopt?)

En nee; ik ben geen webcareteammeneertje, maar ik vraag me af waarom je zo denigrerend doet over mensen en bedrijven die de moeite nemen om op dit soort fora te kijken welke klachten er zijn en daarmee aan de slag te gaan.

[stofzuigertje]

Als ik mijn gebruikersnaam en wachtwoord op de Laptop opsla,
en dus ze ook mijn mobiel stelen zullen ze ontdekken dat ik via de overstap service naar een bank ben gegaan die veiliger is.
Kleiner en zonder dure Bonus voor directie.

Zowel Triodos als ASN zijn prima alternatieven, die niets of nauwelijks meer kosten.
Maar ik kan dus door een simpele diefstal alles stelen?

Daarom moet je een gebruikersnaam hebben gelijk aan iets op dit forum,
want wie wil Kl00tzak genoemd worden?

Dus sla nooit je gebruikersnaam en/of wachtwoorden op als je hiermee geld kunt overboeken, zelfs stelen laptop is niet nodig, ze kunnen even online gaan, kijken hoeveel ze kunnen opnemen en de mobiel is onder een kussen geruisloos....

[rvkeuken]

Ooit waren er een aantal figuren op dit forum die iedere discussie naar een stap over naar dsb leidden, een van die figuren is helaas nu van plan iedereen naar asn of triodos te leiden.

De discussie ging over de beveiliging van ing, als je niets nuttigs hebt toe te voegen, voeg dan ajb niets toe.

[Mendoza]

Gelegenheids diefstal? Gebruikersnaam kun je gewoon over iemands schouder meekijken.

Je verwacht nu dat er een soort stalker zal onstaan die uitsluitend ING klanten gaat achtervolgen? En wanneer kan er bij jou iemand over je schouder meekijken tijdens het inloggen? Vervolgens dan net zolang volgen tot ze ergens een kluisje gebruiken. Want een tasdiefstal word meteen opgemerkt.

Katvanger? Alsof je die het pasje van zijn eigen rekening geeft. Die geef je als eenmalige investering E100 cash en dan mag hij weer nokken.

Iemand in mijn omgeving is ook aan lager wal geraakt. Die gast kon je echt niet meer vertrouwen en deed echt alles om aan geld te komen. Een katvanger weet ook dat zijn bankrekening niet voor niets gebruikt. Je moet dus als dief erop vertrouwen dat zo'n katvanger niet na de 100,- cash de pas blokkeert en zelf een nieuwe pas aanvraagt of misschien al een 2e pas heeft. Bovendien kent de katvanger die op de transactie aangesproken zal worden je gezicht ook nog.

Snel handelen? Bij een dagje sauna kan het zo enkele uren duren voordat je merkt dat de spullen uit je kluisje zijn.

Ik denk dat je wel snel moet handelen inderdaad. Want hoe ga je die kluis openmaken? Lockpicking of openbreken? De meeste dieven zijn geen professionals die een aantal kluisjes zo ff even open klikken op zoek naar ING klanten. Als iemand een zo'n kluisje open wil hebben breekt hij hem open. En een beschadigd kluisje valt snel op.

Gebruikersnaam aangevinkt? Een keer mee kunnen kijken of gokken middels hyves oid is genoeg. Sterker nog, zoals ik eerder aangaf is dit gevoelig voor bruteforce aanvallen.

Heb jij je inlog hetzelfde als hyves? ik niet namelijk. Hoe weet je dan dat iedereen dat waarschijnlijk heeft? Dat weet je niet. En met een bruteforce attack werken gelegenheidsdieven niet. Bovendien is dit niet een snelle methode (geluk daargelaten).


Extra overdenking: Hoe moet je de ING bellen wanneer je telefoon gejat is. Tja met de telefoon van iemand anders.

Kortom stelen is op deze wijze een erg groot risico voor mogelijk weinig opbrengst. Een dief kan een 60" LED TV zien staan in de woonkamer, hij weet dus waarvoor hij het risico neemt. In dit geval moeten er zoveel stappen worden doorlopen. Waarom zouden dieven zoveel moeite doen wanneer ze een raam in kunnen gooien en zo waardevolle goederen mee kunnen nemen. Het moet makkelijk zijn om snel te scoren. Dat zeggen de statistieken.

Ik weet zeker dat er nauwelijks incidenten plaats zullen vinden met betrekking tot deze nieuwe functionaliteit. Overigens vind ik de functionaliteit ook niet nodig maar blijkbaar zijn er een hoop mensen die het een probleem vinden zo'n wachtwoord af te halen.

En proffesionals die er wel de tijd voor nemen en de kennis in huis hebben. Die maken zich echt niet druk om het geld op een rekening van Jan Modaal.

http://www.politiekeurmerkveiligwonen.c ... 8&id=8&t=6

[rvkeuken]

helemaal eens met bovenstaande,
ik vind het een niet nodige stap die alleen maar voor onrust zorgt.

Ook ik denk dat het misbruik wel mee zal vallen, maar ik denk dat je niet moet onderschatten hoezeer een gebruikersnaam hetzelfde zal zijn als de echte naam (of voorletter+naam etc.), met de gegevens, maar zonder gebruikersnaam zal het volgens mij mogelijk zijn binnen 3-4 pogingen in te loggen, als de beslissing niet teruggedraait wordt zal de toekomst moeten uitwijzen of en hoe fraudegevoelig dit is.

[Janoz]

Je verwacht nu dat er een soort stalker zal onstaan die uitsluitend ING klanten gaat achtervolgen? En wanneer kan er bij jou iemand over je schouder meekijken tijdens het inloggen? Vervolgens dan net zolang volgen tot ze ergens een kluisje gebruiken. Want een tasdiefstal word meteen opgemerkt.

Wanneer ze de status van het wachtwoord geven aan de gebruikersnaam, upgrade dan ook het gebruik. Meekijken is enkel een voorbeeld. Degene die je berooft hoeft natuurlijk lang niet altijd een compleet onbekende te zijn. Een gebruikersnaam die je op dag x achterhaalt is 3 maanden erna ook nog wel hetzelfde

Iemand in mijn omgeving is ook aan lager wal geraakt. Die gast kon je echt niet meer vertrouwen en deed echt alles om aan geld te komen. Een katvanger weet ook dat zijn bankrekening niet voor niets gebruikt. Je moet dus als dief erop vertrouwen dat zo'n katvanger niet na de 100,- cash de pas blokkeert en zelf een nieuwe pas aanvraagt of misschien al een 2e pas heeft. Bovendien kent de katvanger die op de transactie aangesproken zal worden je gezicht ook nog.

Ah, dus omdat katvangers niet te vertrouwen zijn is er geen probleem en komt het nooit voor? Desnoods laat je het lopen via iemand die in de Nigeria scam gelooft. Dan zijn de bedragen die langskomen ook nog eens 'verklaarbaar'.

Ik denk dat je wel snel moet handelen inderdaad. Want hoe ga je die kluis openmaken? Lockpicking of openbreken? De meeste dieven zijn geen professionals die een aantal kluisjes zo ff even open klikken op zoek naar ING klanten. Als iemand een zo'n kluisje open wil hebben breekt hij hem open. En een beschadigd kluisje valt snel op.

Beetje creativiteit. Veel kluisjes hebben een 'loper'-functie. Zodra een roemeense bende daar achter komt en ze een beetje onoplettend te werk gaan kunnen ze een eind komen.

Heb jij je inlog hetzelfde als hyves? ik niet namelijk. Hoe weet je dan dat iedereen dat waarschijnlijk heeft? Dat weet je niet. En met een bruteforce attack werken gelegenheidsdieven niet. Bovendien is dit niet een snelle methode (geluk daargelaten).

Jij niet, ik niet. Maar ik kan me goed voorstellen dat mijn moeder dezelfde inlognaam zal gebruiken die ze ook voor de mail heeft. Het punt is nu juist dat je van een gebruikersnaam niet verwacht dat hij net zo belangrijk is als je pincode. Het feit dat de ING aanbiedt om de gebruikersnaam te onthouden ontkracht juist eerder die verwachting.

Een normale bruteforce duurt lang, we hebben het hier echter meer over een dictionary attack. Je kunt het aantal mogelijkheden heel erg beperken omdat een gebruikersnaam (itt tot een wachtwoord) vaak uit dezelfde elementen opgebouwd is.

Kortom stelen is op deze wijze een erg groot risico voor mogelijk weinig opbrengst. Een dief kan een 60" LED TV zien staan in de woonkamer, hij weet dus waarvoor hij het risico neemt. In dit geval moeten er zoveel stappen worden doorlopen. Waarom zouden dieven zoveel moeite doen wanneer ze een raam in kunnen gooien en zo waardevolle goederen mee kunnen nemen. Het moet makkelijk zijn om snel te scoren. Dat zeggen de statistieken.

Mogelijk weinig opbrengst? Je verschaft je toegang tot de volledige bank functionaliteit van iemand. Dus niet enkel zijn betaalrekening

Ik weet zeker dat er nauwelijks incidenten plaats zullen vinden met betrekking tot deze nieuwe functionaliteit. Overigens vind ik de functionaliteit ook niet nodig maar blijkbaar zijn er een hoop mensen die het een probleem vinden zo'n wachtwoord af te halen.

Ik beschik helaas niet over dezelfde glazen bol.

Zou jij je internetbankieren vertrouwen wanneer je alleen een gebruikersnaam, geboortedatum, pasnummer en rekeningnummer in zou moeten vullen om in te loggen? Zonder dat er ook maar 1 van de veldjes met sterretjes werkt? Je kunt toch wel aanvoelen dat er dan iets niet helemaal goed gaat?

De oude manier was omslachtig, de nieuwe is onveilig. Er zijn echt wel meer dan twee mogelijkheden die de ING had kunnen kiezen.

En proffesionals die er wel de tijd voor nemen en de kennis in huis hebben. Die maken zich echt niet druk om het geld op een rekening van Jan Modaal.

Ja, daarom komt skimmen ook nooit voor....

[CB]

@Janoz,

Je meeste argumenten kloppen wel, maar volgens mij zijn ze een beetje ver gezocht. Als iemand zoveel moeite moet gaan doen, is er wel een simpelere manier om oneerlijk aan geld te komen.

Echter bij onderstaande quote, met name het vette gedeelte, wil ik tocht wel een nadere toelichting.

Zou jij je internetbankieren vertrouwen wanneer je alleen een gebruikersnaam, geboortedatum, pasnummer en rekeningnummer in zou moeten vullen om in te loggen? Zonder dat er ook maar 1 van de veldjes met sterretjes werkt?

Om in te loggen op https://mijn.ing.nl/internetbankieren/SesamLoginServlet heb je Rechts een calculator nodig. Het voormalig ING Bank systeem, maar daar hebben we het hier niet over, dus die laten we even links liggen.

Aan de linkerkant heb je een gebruikersnaam en wachtwoord nodig om in te loggen, geen geboortedatum, pasnummer en rekeningnummer.

Probeer maar eens in te loggen en wat zie je bij het wachtwoord? Inderdaad geen sterretjes maar bolletjes. Kun je even aangeven waarom bolletjes minder veilig zijn dan sterretjes a.u.b.?

Kan het zijn dat je je te weinig hebt verdiept hoe het systeem werkt bij de ING, of zoek je misschien toch naar spijkers op laag water.

Met al de argumenten die ik hier zie, over schouders kijken, tassen stelen, gebruikersnamen, wachtwoorden etc. etc, zijn alle systemen bij de banken wel te kraken.

[Janoz]

@Janoz,
Aan de linkerkant heb je een gebruikersnaam en wachtwoord nodig om in te loggen, geen geboortedatum, pasnummer en rekeningnummer.

Probeer maar eens in te loggen en wat zie je bij het wachtwoord? Inderdaad geen sterretjes maar bolletjes. Kun je even aangeven waarom bolletjes minder veilig zijn dan sterretjes a.u.b.?

Precies. Zo is het nu en zo ziet de site er straks nog steeds uit. Het grote probleem met de nieuwe wijziging is dat het wachtwoord nutteloos wordt. Zoals ik in een eerdere post al aangaf wordt het wachtwoord equivalent aan het hebben van wat gegevens die iedereen in zijn portemonnee heeft zitten. Uiteraard ziet het er op de site niet zo uit, maar het komt op het zelfde neer.

Kan het zijn dat je je te weinig hebt verdiept hoe het systeem werkt bij de ING, of zoek je misschien toch naar spijkers op laag water.

Ik heb me er de laatste tijd juist enorm in verdiept. Daarnaast ben ik sowieso al vaak bezig met security en usability. Ik raad je aan om de eerste twee uitgebreide posts die ik in dit topic geplaatst heb eens goed doorleest. Hierin zet ik uitgebreid uiteen waarom de nieuwe aanpak verre is van wat ik van de beveiliging van internetbankieren verwacht,

Met al de argumenten die ik hier zie, over schouders kijken, tassen stelen, gebruikersnamen, wachtwoorden etc. etc, zijn alle systemen bij de banken wel te kraken.

Nee. Kernpunt is juist dat bij de ING het wachtwoord NIET meer van belang is en rechtstreeks achterhaald kan worden. Het achterhalen gebeurt op basis van gegevens die de meeste mensen bij elkaar dragen en op basis van gegevens waarvan de gemiddelde gebruiker niet verwacht dat de geheimhouding zo cruciaal is.

Andere systemen (zoals Rabobank en ABN-Amro) zijn afhankelijk van je pincode. Ik zie die banken nog niet een systeem opzetten waarbij je middels een sms-je een nieuwe pincode aan kunt vragen.

Iedereen weet dat je nooit je pincode aan iemand moet vertellen. De meeste mensen weten ook wel dat ze het wachtwoord voor hun internetbankieren voor zichzelf moeten houden. Maar een gebruikersnaam? Waarbij de bank zelf ook al functionaliteit aanbied om het te onthouden?

[Mendoza]

Janoz,

Ik denk dat verder discussiëren geen zin heeft. Ik vind het vergezocht, jij niet we laten het daar maar bij. De tijd zal het leren.

In jouw geval zou ik een klacht indienen waar ze in eerste instantie misschien niks mee doen, maar bij meer klachten toch verder gaan kijken.

Doen ze uiteindelijk niks, dan kun je overstappen naar een andere bank die wel aan jouw eisen voldoet.

[ceeszomers]

Er is een simpele oplossing:
Als de ING bank pas na 48 je het sms je stuurt die vervolgens binnen 24 uur daarna kan worden ingetrokken doe je een extra beveiliging toevoegen. Als je het niet nadat je het hebt gelezen gelijk verwijder voldoe je niet aan de voorwaarden( je mag je pincode niet bewaren toegankrelijk voor anderen) tenslotte bij een inbraak in je huis en de computer bekijken( sommige..... hebben er een wachtwoord op ( windows inloggen)om te voorkomen dat kids alles kunnen doen) EN het mobieltje stelen plus alles binnen 24 uur ....dat lijkt mij sterk........

[.oisyn]

Janoz,

Ik denk dat verder discussiëren geen zin heeft. Ik vind het vergezocht, jij niet we laten het daar maar bij. De tijd zal het leren.

Nee, dan is het te laat, en het is vooral de naïviteit die je hier zelf tentoonsprijdt waardoor het uiteindelijk toch gebeurt. En waar ik vooral aan twijfel is of de ING gaat vertellen dat een gebruikersnaam tegenwoordig niet meer makkelijk te raden moet zijn, en dat je die niet aan andere mensen moet geven. Dat is namelijk niet iets hoe normaal gezien met een gebruikersnaam omgegaan moet worden, en dat is dus ook niet het idee dat mensen bij een gebruikersnaam hebben. Ik denk dat het meerendeel gewoon een combinatie van voornaam + achternaam heeft.

In jouw geval zou ik een klacht indienen waar ze in eerste instantie misschien niks mee doen, maar bij meer klachten toch verder gaan kijken.

Doen ze uiteindelijk niks, dan kun je overstappen naar een andere bank die wel aan jouw eisen voldoet.

Dat is dus precies wat ik al gedaan heb. Maar verder dan het antwoord dat de ING representatieve hier al heeft gegeven komen ze ook niet. Echt inhoudelijk gaan ze niet op de punten in.

[testcase]

Ik vind het een top oplossing.

Veel klantvriendelijker en goedkoper voor de ING.

Als je zelf je veiligheidsmaatregelen in acht neemt, zaols

1) gebruikersnaam en wachtwoord niet laten opslaan en
2) een niet voor d hand liggende gebruikersnaam kiezen.

Is er helemaal niets aan de hand.

[CB]

Ik snap al de commotie niet. ING stuurt op aanvraag een wachtwoord per SMS naar het door jezelf geregistreerde mobiele nummer. Je ontvangt het wachtwoord thuis tijdens het internetbankieren. Na ontvangst bewaar je het thuis in dezelfde vorm, zoals je dat vroeger met het papiertje deed die je op kantoor haalde. Je verwijdert het smsje van je mobieltje en klaar is Kees. Wat is in hemelsnaam het verschil met vroeger.

[Janoz]

@Testcase:

Als je zelf je veiligheidsmaatregelen in acht neemt, zaols

1) gebruikersnaam en wachtwoord niet laten opslaan en
2) een niet voor d hand liggende gebruikersnaam kiezen.

Is er helemaal niets aan de hand.

Je bent er van overtuigd dat het dan veilig is? Dus in principe ben je het eens dat de geheimhouding van de gebruikersnaam van cruciaal belang is? Waarom bied notabene de bank dan nog steeds zelf aan om die gebruikersnaam op te slaan?

Tot slot. Waarom moet je speciaal voor de ING afwijkend met je gebruikersnaam, om gaan? Een gebruikersnaam geheim en lastig te gokken maken is niet hoe normaliter met een gebruikersnaam omgegaan wordt. Dat zijn de eisen die van een wachtwoord worden verwacht.

@CB:
Op welke manier kan de ING uberhaupt weten wie het mobieltje heeft?


Ik heb trouwens nog meer mogelijke exploits gezien die ik maar beter niet kan herhalen om dat het daadwerkelijk kinderlijk eenvoudig wordt. Het lijkt me niet handig om dergelijke exploits ergens op het net te plaatsen.

[jtaal]

Ik heb een mailwisseling met de ING klantenservice, en ik wordt daar niet vrolijk van...

Enkele citaten:

Wij adviseren u ook om niet uw gebruikersnaam te bewaren op uw computer. U verwijdert hiervoor het vinkje bij 'Gebruikersnaam bewaren'.

Daarnaast kunt u in Mijn ING zelf uw TAN-functie blokkeren. Na inloggen kiest u links in het menu voor ‘Service en instellingen'. Bij ‘TAN-functie blokkeren/activeren' kiest u voor ‘Blokkeren TAN-functie / activeringscode aanvragen'.

Wat een verschrikkelijk antwoorden van ING. Ik had verwacht een geruststellend verhaal te horen over wat er eventueel zou kunnen gebeuren in het geval van. Maar bovenstaande is het enige wat ze kunnen melden.

Is er dan niemand van de IT afdeling van ING die hier keihard voor op de rem gaat staan??? Als ik geen bevredigend antwoord krijg ga ik wel naar een van hun concurrenten...

[.oisyn]

Weer een reactie van de ING klantenservice

Wij vinden het erg jammer dat u deze nieuwe procedure niet veilig vindt.

De procedure is uitvoerig getest en goedgekeurd door toezichthouders. Wij willen u verzekeren dat wij u een veilige internetbankieromgeving bieden.

Voor de volledigheid: Bij het opvragen van een nieuw wachtwoord wordt niet alleen gevraagd naar de pasgegevens maar o.a. ook nog naar uw geboortedatum en gebruikersnaam. Met alleen de pas en de mobiele telefoon is dus nog steeds geen wachtwoord aan te vragen.

Wij vinden het erg jammer als u door deze wijziging zou besluiten uw bankzaken elders onder te brengen.

Wat een lapswanzen. Anders gaan jullie eens inhoudelijk in op de argumenten die ik geef.

Ik vind het een top oplossing.

Veel klantvriendelijker en goedkoper voor de ING.

Als je zelf je veiligheidsmaatregelen in acht neemt, zaols

1) gebruikersnaam en wachtwoord niet laten opslaan en
2) een niet voor d hand liggende gebruikersnaam kiezen.

Is er helemaal niets aan de hand.

Maar denk hier nu eens even goed over na. Wat is er nu klantvriendelijker geworden? Kijk, mensen vergaten altijd hun wachtwoord. Voor hen is de procedure voor het aanvragen van een nieuwe nu simpeler geworden, want het kan via SMS. Maar is dat wel zo? Het blijkt dat door deze maatregel, zoals je zelf ook al zegt, een moeilijker te raden gebruikersnaam moet nemen. Een gebruikersnaam die op een wachtwoord lijkt, zeg maar. Ok, in de eerste instantie was je alleen je wachtwoord vergeten. Nu ben je ook je gebruikersnaam vergeten, want die was immers moeilijk te raden. Wat voor winst heb je nu met de nieuwe procedure? Nieuw wachtwoord aanvragen heeft geen zin, want je weet ook je gebruikersnaam niet meer. Oftewel, je moet alsnog naar het postkantoor.

Met andere woorden, een persoon als jij die het nieuwe systeem handiger vindt schiet er niets mee op, maar mensen zoals ik moeten ondertussen wel leven met een minder veilig systeem. Als dat het resultaat is, waarom voeren ze het dan überhaupt in?

[CB]

Je bent er van overtuigd dat het dan veilig is? Dus in principe ben je het eens dat de geheimhouding van de gebruikersnaam van cruciaal belang is? Waarom bied notabene de bank dan nog steeds zelf aan om die gebruikersnaam op te slaan?

Dat is niet nieuw en gebeurd nu ook al en niet alleen bij de ING. Loop jij nu wel te koop met je gebruikersnaam?

Tot slot. Waarom moet je speciaal voor de ING afwijkend met je gebruikersnaam, om gaan? Een gebruikersnaam geheim en lastig te gokken maken is niet hoe normaliter met een gebruikersnaam omgegaan wordt. Dat zijn de eisen die van een wachtwoord worden verwacht.

Je moet niets, het is een advies en wijkt ook niet af van de huidige situatie.

@CB:
Op welke manier kan de ING uberhaupt weten wie het mobieltje heeft?

Ga jij internetbankieren en een wachtwoord aanvragen met een door jouw opgegeven mobieltelefoonnummer die je niet meer bezit???

Het enige dat wijzigt, is dat je je wachtwoord ontvangt via SMS in plaats van dat je het ophaald op het (post)kantoor. Daar veilig mee omgaan (SMS) heb je helemaal zelf in de hand.

Als je gaat internetbankieren in het Vondelpark loop, je inderdaad het risico dat ze over je schouder meekijken. Dus een verstandig mens doet dat niet. Zo neem je ook niet alle gevoelige informatie iedere dag mee in je tas (Bankpas met pincode, Gebruikersnamen en wachtwoorde op Mobiel of PDA) als je slim bent tenminste.

Nogmaals Janoz je zoekt spijkers op laag water.

[Janoz]

Dat is niet nieuw en gebeurd nu ook al en niet alleen bij de ING. Loop jij nu wel te koop met je gebruikersnaam?

Geef mij eens een paar voorbeelden van inlog systemen die enkel afhankelijk zijn van de geheimhouding van de gebruikersnaam?

Daarnaast als je naast deze post kijkt zie je alvast mijn gebruikers naam. Voor Hyves, Linkedin, andere Fora, Twitter en Facebook geldt hetzelfde. Bij mij is die gebruikersnaam niet hetzelfde als bij de ING, maar ik durf met aan zekerheid grenzende waarschijnlijkheid te stellen dat de inlognaam die mijn moeder en mijn schoonmoeder bij hotmail gebruiken dezelfde is of veel lijkt op de inlognaam die zij bij ING gebruikt. En ja, als bekenden hun een mailtje willen sturen zullen ze wel te koop moeten lopen met de gebruikersnaam. Dat is ook helemaal niet vreemd omdat dat onder het normaal gebruik van een gebruikersnaam valt.

Je moet niets, het is een advies en wijkt ook niet af van de huidige situatie.

Het advies wijkt wel degelijk af van de normale consensus mbt gebruik van inloggegevens. De opmerking is hetzelfde als 'pincode maakt niet meer uit, vanaf nu zijn je rekeningnummer plus pascode de gegevens die je geheim moet houden'. Het valt niet onder de algemene consensus mbt gebruikersnamen.

Ga jij internetbankieren en een wachtwoord aanvragen met een door jouw opgegeven mobieltelefoonnummer die je niet meer bezit???

Vervolgvraag. Waarom zou jij degene moeten zijn die het wachtwoord aanvraagt?

Het enige dat wijzigt, is dat je je wachtwoord ontvangt via SMS in plaats van dat je het ophaald op het (post)kantoor. Daar veilig mee omgaan (SMS) heb je helemaal zelf in de hand.

Bij het postkantoor moest je jezelf legitimeren. Groot verschil. Nog los van de doorlooptijd. Bij de SMS hoeft een kwaadwillende maar 10min controle te hebben over de gang van zaken terwijl dat in de huidige situatie meerdere dagen is.

Als je gaat internetbankieren in het Vondelpark loop, je inderdaad het risico dat ze over je schouder meekijken. Dus een verstandig mens doet dat niet. Zo neem je ook niet alle gevoelige informatie iedere dag mee in je tas (Bankpas met pincode, Gebruikersnamen en wachtwoorde op Mobiel of PDA) als je slim bent tenminste.

Op dit moment is internet bankieren bij de ING veilig genoeg om dit gewoon in het vondelpark te doen. Straks niet meer. Dat geeft toch wel aan dat de veiligheid achteruit gaat?

Het gaat heir niet om bankpas met pincode. Dat is juist het hele punt. Het gaat om gegevens die elk normaal mens gewoon bij zich heeft omdat dat:
1. Verplicht is (identificatie bewijs met naam en geboortedatum)
2. Onwerkbaar is wanneer je het niet bij je hebt (pinpas met rekeningnummer en pasnummer en telefoon)

Als je dus na 16 maart 'slim bent' laat je of je telefoon, of je rijbewijs of je bankpas thuis.

Ja sorry agent, vandaag heb ik mijn rijbewijs niet bij me omdat ik moet bellen en even wil pinnen. Van de ING mag ik dan mijn rijbewijs niet meer meenemen.

Nogmaals Janoz je zoekt spijkers op laag water.

Uiteraard ben ik het hiermee niet eens . Stel ik nogmaals de vraag:

Zou jij je internetbankieren vertrouwen wanneer je alleen een gebruikersnaam, geboortedatum, rekeningnummer, pasnummer en tancode in hoefde te vullen?

Als hierop je antwoord ja is, dan kunnen we het er inderdaad op houden dat ik graag een hoger beveiligingsniveau verwacht dan jij.

[.oisyn]

Nogmaals Janoz je zoekt spijkers op laag water.

Lees eens mijn reactie op "testcase" door en vertel me dan eens wat de winst is van het nieuwe systeem. Wellicht ben je van mening dat het nog steeds veilig genoeg is, soit. Maar ben je ook van mening dat het nieuwe systeem een voordeel is? Zo ja, waarom dan?

[s.stok]

Waarom bied notabene de bank dan nog steeds zelf aan om die gebruikersnaam op te slaan?

Ja dat is ook zo iets waar ik mijn bedenking bij heb

Het huidige systeem voldoet prima, het is veilig en makkelijk in gebruik.
Waarom je dit willen aanpassen?

En wat 'INGwebcare' team is er nu zo moeilijk om het optioneel te maken?
Éen vinkje, één regel in de database tabel. Wat is daar nu moeilijk aan?

Dit is al de zoveelste blunder van de Postbank.
Want alleen je naam veranderen is niet voldoende...

Een greep uit de problemen.

• Voormalig slecht werkende mijnPostbank
• Een help document bij internationale betaling waar letterlijk stond 'Vul hier de help informatie in'.
• Een telefoon menu dat eindeloos nergens doorverwijst
• Voormalige storing Postbank, omdat een batch proces fout was gelopen. Ooit gehoord van database transacties..
• Stilletjes verwijderen van ingeplande opdrachten
• Online creditcard manager die mijn kaart niet herkend
• (ING Zelf): Volgnummers van creditcard afschriften die willekeurig verspringen
• "Als u een bedrag invult mag u niet 'Af en Bij' kiezen. Pas de selectie criteria aan en klik op Zoeken. (Meldingscode: 14.150.1.192)". Waarom zou je het ook makkelijk maken.
• Mijn vader is een keer aangevallen door een Postbank automaat die zijn bankpas er gewoon uitschoot! (eigenlijk best grappig)
• http://security.nl/artikel/32214/1/ING_en_2o7.net.html

Bijna al deze punten zijn heel makkelijk op te lossen en voorkomen.
Ga je nu eerst is richten op je bedrijfsvoering.

Nog een leuke toevoeging, gisteren kreeg was bij het nieuws te zijn dat de banken de kosten voor het betaal pakket gaan verhogen.
Niet zo'n probleem mee, maar dan wil ik daar wel iets voor terug zien.
En niet dat dit geld weer wordt uitgegeven aan stelletje bankiers of marketing!!

Maar dat ze nu is een goed webcareteam opzetten, welke luistert naar de problemen, ze oplost en niet als een robot (welke tegenwoordig nog beter antwoord kunnen geven dan dit) gaan zitten kopie-pasten.

Heeft Radar zelf hier eigenlijk zelf al naar gekeken?