[ archief ] Klanten kwetsbaar door nieuwe beveiliging Mijn ING

[s.stok]

Meer informatie is hier te vinden.http://tweakers.net/nieuws/65157/klante ... pdate.html

Ik ben al jaren een tevreden klant bij ING.
Beide particulier als zakelijk, echter las ik vandaag op verschillende nieuwssites als Tweakers.net dat ING mensen de mogelijkheid wil 'gaan' geven om het wachtwoord per SMS te ontvangen.

Als ik nu mijn gebruikersnaam of wachtwoord kwijt ben of drie verkeerd heb ingevuld moet ik een nieuwe aanvragen, welke ik dan kan ophalen bij het postkantoor op vertoning van mijn identiteitsbewijs.

Omdat verschillende mensen dit omslachtig vinden wil de ING (voormalige Postbank) nu de mogelijkheid bieden om het wachtwoord per SMS te versturen.
Je hebt dan wel de geboortedatum, pasnummer en mobielnummer nodig ter controle.

De ING zegt zelf dat het 'heel onwaarschijnlijk' is dat hier misbruik van zal worden gemaakt Geloof je het zelf.

Ik vind onbegrijpelijk dat de ING dit wil gaan invoeren!
Ik ben zelf programmeur en server beheerder, als ik één ding heb geleerd is dat voor dit soort dingen 'beveiliging' een must is. Dat sommige mensen er 'problemen' mee hebben mag geen reden zijn om de veiligheid te verminderen.
Juist die veiligheid bescherm ons, ja het is verveld en ja SMS is heel handig, maar ook gevaarlijk.

Als bank moeten zij ons beschermen, en niet de deur openzetten voor slimme criminelen.

Ik hoop dat iemand van Radar dit leest er een item aan kan weiden.
Ze zijn juist bezig om phissing tegen te gaan, krijg je zo'n onzinnige besluit

[VENCO dropje]

Dus als ik de volgende zaken weet te bemachtigen bij een ING klant dan kan ik dus geld van iemands ING rekening afhalen:
- het mobieltje/chip... nog niet gelocked met PIN-code en waarop ik de TAN codes kan ontvangen,
- geboortedatum (dat wil nog wel eens in correspondentie voorkomen)
- de bankpas (neem aan nog niet geblokkeerd..want dat moet je wel melden in geval van verlies/diefstal) en
- gebruikersnaam (dat zullen veel mensen wel standaard op hun PC hebben aangevinkt als "onthouden")

Daar moet je wel wat voor doen. Ik zeg niet dat het onmogelijk is want het criminele circuit is natuurlijk inventief.
Je moet dus wel heel goed opletten dat je bij verlies/diefstal van je ING bankpas(nummer) dit tijdig gaat melden bij ING als ze voor deze oplosing gaan kiezen. Want hiermee is er dus een link tussen een bankpas en internet bankieren. Je betaalrekening plunderen met een bankpas is nog altijd minder erg dan dat ze over alle rekeningen (spaar, beleggen) via internet bankieren kunnen beschikken.

[Deurwaarder Mark]

Zo moeilijk is dat niet te realiseren denk ik. Stel je voor dat je iemands tas jat. Vaak zal daarin de telefoon, de portemonnee met daarin een bankpasje en een ID (dus de geboortedatum), de huissleutels en het adres te vinden zijn.

Je breekt in, start de computer op, met een beetje mazzel staat de gebruikersnaam inderdaad standaard aan (mensen zijn helaas vaak stommer dan je zou denken) en je kunt de hele spaarrekening en betaalrekening overboeken...

Uiteraard heeft de bestolene dan wel de beschikking over het rekeningnummer waar het naar toe is gegaan, maar zie het maar eens terug te krijgen (zal wel een katvanger zijn).

Zo vergezocht is dit cenario dus niet... ik hoop dus inderdaad dat het slechts een mogelijkheid is, en geen verplichting!

[s.stok]

Gelukkig is het iets minder erg dan het eerst leek, waarmee je zelfs de 'gebruikersnaam' via SMS kon ontvangen

Met dit nieuwe systeem valt die scheiding van lagen weg.
Nu moet je de gebruikersnaam en wachtwoord uit je hoofd weten (of ergens op hebben geschreven) en moet je autoriseren via een SMS (of papier, ook zo achterhaald).

Voor mijn zakelijke ING heb ik een calculator, werkt voor mij net zo prettig.
Om precies te zijn, heb ik vaker mijn wachtwoord bij de Postbank verkeerd ingevuld, dan bij die calculator mijn pincode

Ik heb zelfs een keer gehoord dat ze het calculator systeem willen gaan afschaven.
Maar dat zou wel erg dom zijn. Ik heb liever een calculator (of acesskey reader) dan dit systeem.

[Janoz]

Het is jammer dat dit onderwerp een beetje ondersneeuwt. Het gaat hier om een nogal fundamentele fout die wordt gemaakt die door veel mensen wordt weggewimpeld met "Ach, zo'n grote organisatie zal er vast wel goed over nagedacht hebben"

Voor authenticatie (controleren dat degene is wie hij zegt dat hij is) bestaan de volgende 3 mogelijkheden:

1 Iets wat alleen jij hebt
2 Iets wat alleen jij weet
3 Iets wat alleen jij bent

Het eerste is bijvoorbeeld een pasje, een apparaatje dat codes genereert of een telefoon waar TAN-codes op binnenkomen. Het tweede is bijvoorbeeld een wachtwoord of een pincode. Bij het derde item moet je eerder denken aan biometrische middelen zoals vingerafdruk en irisscan.

De expert zijn het er over eens dat je minimaal twee van de drie items afgedekt moet hebben voor een fatsoenlijke beveiliging. Bij het pinnen is dat bijvoorbeeld de bankpas (wat je hebt) en je pincode (wat je weet).

ING internet bankieren was erg veilig. Je wachtwoord is geheim. Iedereen weet (over het algemeen) dat je je wachtwoord voor jezelf moet houden en dat je daarvoor iets moet nemen dat niet makkelijk te raden is. Om geld over te maken heb je niet alleen het wachtwoord nodig, maar ook een TAN-code die op je telefoon binnen komt. (Ik laat de papieren TAN-codes even buiten beschouwing, vooral omdat dit niet meer aangevraagd kan worden). Er is dus iets nodig wat je hebt, en er is dus iets nodig wat je weet.

Mocht je je wachtwoord kwijt zijn dan is er inderdaad een iets omslachtige procedure die er echter wel voor zorgt dat de ING met 99.9% zekerheid kan zeggen dat het wachtwoord ook daadwerkelijk alleen bij degene terecht kan komen voor wie het bedoeld is.

Blijkbaar zijn er mensen die hebben geklaagd en is het helemaal omgegooid........

In de nieuwe situatie heb je nog steeds een telefoon met TAN-codes nodig, een gebruikersnaam en wachtwoord. Met de mobiel wordt de 'iets hebben' en met het wachtwoord wordt de 'iets weten' afgedekt. Maar is dat laatste wel zo??

Het wachtwoord kan immers redelijk simpel aangevraagd worden. Het enige dat je nodig hebt is een wat openbare gegevens en de mobiel van de gebruiker. Vaak heb je alles wat je nodig hebt al bij elkaar wanneer je iemands tas bemachtigd. Hiermee degradeert de 'iets dat alleen jij weet' van het wachtwoord tot 0.

Het enige dat de aanvaller nog nodig heeft is een gebruikersnaam. ING reageert nu door te zeggen dat je je gebruikersnaam privé moet houden en niet erg voor de hand liggend moet kiezen.

Maar, dat zijn toch eigenlijk precies die eisen die normaliter aan een wachtwoord worden gesteld? En hoe is dat te rijmen met :
1 - Je op je computer gewoon aan kan vinken om de gebruikersnaam te onthouden (en uitvinken verwijderd de gebruikersnaam niet van de computer?
2 - Je je gebruikersnaam gewoon zonder sterretjes op je scherm kunt tikken waardoor iedereen mee kan kijken?


Dat de oude procedure omslachtig was is waar. Maar om je security tot een lager niveau te brengen dan bijvoorbeeld de inlog van dit forum (wat in principe veiliger is aangezien het wel gebaseerd is op een geheim gegeven (wachtwoord) waarvan de gemiddelde gebruiker weet dat het geheim moet blijven) is schandelijk! Ik hoop dat hier veel aandacht aan gegeven wordt want eigenlijk heb ik helemaal geen zin om te moeten over te stappen naar een andere bank met fatsoenlijke beveiliging.

[s.stok]

Applaus
Heel mooi geformuleerd.

Ik hoop echt dat de ING dit besluit terug draait, want zo kan je je bank toch niet meer serieus nemen.

[Deurwaarder Mark]

Zo, beter heb ik het nog nooit uit horen leggen!!! Zou je die vraag zo niet eens aan ING voorleggen?

[Mendoza]

De dief moet veel te veel stappen doorlopen om zo ff te kunnen stelen.

Als hij een tas steelt moeten alle spullen er in zitten.
Hij moet snel handelen want een tas blijft niet lang onopgemerkt.
Tevens moet hij uberhaupt op de hoogte zijn van deze ING functionaliteit.
Er moet niemand thuis zijn op het adres van het slachtoffer.
Hij moet inbreken, hopen dat het huis niet een alarm heeft of beveiligd is.
Gebruikersnaam moet aangevinkt staan.
Hij moet het overmaken naar een rekening.
Katvanger? Junks of zwervers? kun je die vertrouwen met 1000 euro op de rekening? Of via Western Union naar Afrika sluizen? En dit allemaal met voorbedachte rade om ING klanten te pakken. Niet te vergeten het slachtoffer moet ook nog geld hebben anders is het allemaal voor niets geweest.

Ik denk dus dat het wel meevalt. al vind ik deze functionaliteit ook onnodig.
90% van diefstallen in Nederland zijn gelegenheidsdiefstallen. Dieven lopen letterlijk tegen een makkelijke diefstal aan. En dit is niet zo makkelijk.

Daarom is bijvoorbeeld lockbumping ook geen probleem volgens de politie. Vergt voorbereiding. Dieven willen toeslaan en binnen 2 tot 5 minuten weg zijn.
http://www.youtube.com/watch?v=v-n46J1AvmE

[Janoz]

@Mendoza

Ik zou het absoluut niet zo bagatelliseren. Bedenk dat je voor het doorvoeren van de wijziging enkel de volgende dingen nodig hebt:

1 Telefoon
2 Wachtwoord
3 Gebruikersnaam

Het is algemeen bekend (tenminste, zou moeten zijn) dat je je wachtwoord prive en geheim houdt en er dus voor zorgt dat dit niet zomaar in handen van andere kan vallen.

Na de verandering kun je het wachtwoord ook achterhalen middels persoonsgegevens en pasgegevens. Het rijtje wordt dan:

1 Telefoon
2 Persoonsgegevens
3 Bankpas gegevens
4 Gebruikersnaam

Hierbij worden 1 t/m 3 vaak op dezelfde plek bewaard. Denk aan een handtas of aan een locker bij de sportvereniging.

De overgebleven beveiliging is dus eigenlijk puur gebaseerd op het 'geheim' zijn van je gebruikersnaam. Dit faalt aan alle kanten omdat:

1. Het uberhaupt niet gebruikelijk is om je gebruikersnaam geheim te houden.
2. De kans groot is dat de gebruikersnaam letterlijk op de computer staat (aangevinkt op het inlog scherm en daardoor opgeslagen in een cookie, of zelfs middels de automatische aanvulfunctionaliteit aangezien 'autocomplete=off' niet perse door elke browser gerespecteerd hoeft te worden).
3. Het heel gebruikelijk is om dezelfde gebruikersnaam ook op andere plekken te gebruiken zoals Hyves of fora.
4. Maximaal aantal keren inloggen gebaseerd is op de gebruiker! Door telkens de gebruiker te wisselen (en van IP te wisselen en je cookies leeg te gooien) heeft de bank niet eens door dat er een bruteforce aanval plaatsvindt op een gebruiker.
5. De gebruikersnaam gewoon keurig leesbaar op het scherm verschijnt bij het intikken.


Gelegenheids diefstal? Gebruikersnaam kun je gewoon over iemands schouder meekijken.

Katvanger? Alsof je die het pasje van zijn eigen rekening geeft. Die geef je als eenmalige investering E100 cash en dan mag hij weer nokken.

Snel handelen? Bij een dagje sauna kan het zo enkele uren duren voordat je merkt dat de spullen uit je kluisje zijn.

Gebruikersnaam aangevinkt? Een keer mee kunnen kijken of gokken middels hyves oid is genoeg. Sterker nog, zoals ik eerder aangaf is dit gevoelig voor bruteforce aanvallen.

Extra overdenking: Hoe moet je de ING bellen wanneer je telefoon gejat is?

[Janoz]

@Deurwaarder Mark

Ach, blijkbaar een complete minachting van de klant. Ik krijg reacties terug als:

Het is niet mogelijk het herverstrekken van uw wachtwoord per sms uit te zetten. Wij hebben uw klacht geregistreerd en opgenomen in ons verbeteringsproces. Wij kunnen niet garanderen dat de wijziging in een volgende versie wordt verwerkt.

Indien u het niet eens bent met de wijziging heeft u het recht de overeenkomst van uw betaalproduct of betaalinstrument met onmiddellijke ingang kosteloos op te zeggen vóór de ingangsdatum van de wijziging.

Lees: Je kunt brullen wat je wilt, maar als je het er niet mee eens bent dan ga je maar ergens anders heen....

[rvkeuken]

Ik heb ook een klacht verstuurd, hopelijk komen er genoeg klachten om het terug te draaien. Ik kan eenieder die zijn gebruikersnaam gewijzigd heeft (bijv. naar eigen naam) aanraden om deze te wijzigen naar iets anders, minder logisch.

Ik denk dat het uiteindelijk meevalt (mannen hebben over het algemeen telefoon en portemonnee niet bij elkaar) en het complex blijft, maar het is absoluut geen goede move.

[s.stok]

Oh nu word ik dus echt boos

Ik verwacht gewoon van mijn bank dat ze goed en veilig met 'mijn geld' omgaan!
We hebben hier niet voor niets regels voor.

"Indien u het niet eens bent met de wijziging heeft u het recht de overeenkomst van uw betaalproduct of betaalinstrument met onmiddellijke ingang kosteloos op te zeggen vóór de ingangsdatum van de wijziging."

Super jongens, gewoon je eigen bank kapot maken!
Want dat is wat ze nu doen. Gewoon de klanten negeren en doen waar ze zin hebben.

Heeft de persoon die dit besloten heeft soms een gaatje in zijn kop of zo?
Want als je met zo'n IQ bij een bank mag werken...

[Janoz]

Ben ik nou zo dom??

ING-woordvoerster Monique Bouwmeester zegt dat gebruikers hun username inderdaad beter kunnen veranderen naar iets wat niet voor de hand ligt. "Het is nooit slim om je voorletter en achternaam in te stellen als gebruikersnaam", zegt ze.

Gebruik niet overal dezelfde en zorg dat het niet voor de hand ligt.....

Hmmm, ik heb altijd gedacht dat dat de eisen waren die normaliter horen bij een wachtwoord.......

[.oisyn]

Lees: Je kunt brullen wat je wilt, maar als je het er niet mee eens bent dan ga je maar ergens anders heen....

Ik heb een dergelijk antwoord gehad:

Begrijpelijk dat u ons e-mailt, omdat u niet tevreden bent over werkwijze voor het wijzigen van uw wachtwoord.

Om in te loggen op Mijn ING, is ook een gebruikersnaam nodig. Deze gebruikersnaam wordt nooit tegelijkertijd met het wachtwoord verstrekt. Voor het aanvragen van een nieuwe gebruikersnaam geldt nog steeds de oude procedure. Om Mijn ING zo veilig mogelijk te maken, kunt u uw gebruikersnaam niet te makkelijk maken.

Op het moment dat u een wachtwoord via SMS ontvangt, is dit een tijdelijk wachtwoord. Vanwege de veiligheid, dient u dit wachtwoord binnen 30 minuten te wijzigen.

Zijn uw telefoon en Betaalpas gestolen, bel dan zo snel mogelijk de ING: 058 212 2600. Uw pas wordt dan direct geblokkeerd. Er kan dan geen nieuw wachtwoord aangevraagd worden.

Daarnaast kunt u in Mijn ING zelf uw TAN-functie blokkeren. Na inloggen kiest u links in het menu voor ‘Service en instellingen'. Bij ‘TAN-functie blokkeren/activeren' kiest u voor ‘Blokkeren TAN-functie / activeringscode aanvragen'.

De ING biedt u een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Met vriendelijke groet,
ING Klantenservice

Mijn antwoord

Geachte,

Het is ronduit belachelijk dat u uw klanten vraagt een moeilijk te raden gebruikersnaam te nemen. Dat is juist waar het wachtwoord voor bedoeld is, zoals elke IT-specialist u kan vertellen! Waar het feitelijk op neerkomt is dat de gebruikersnaam dienst gaat doen als wachtwoord, en dat het wachtwoord verder geen enkel praktisch nut meer dient. Met het verschil dat een gebruikersnaam niet met sterretjes wordt weergegeven wordt in het inlog-vakje (en dus afleesbaar is) en dat hij per abuis op een computer opgeslagen kan worden. Mensen gaan hun gebruikersnaam vergeten (die moest immers moeilijk te raden zijn), en moeten dan alsnog naar het postkantoor. Wat is hier nou eigenlijk de winst? We zijn gewoon weer terug bij af. Oh nee, wacht, het systeem is zelfs onveiliger geworden.

Maar goed, ik ga alvast op zoek naar een bank waar ze veiligheid belangrijker vinden dan gebruikersgemak bij een dienst waar iemand die z'n wachtwoord gewoon kan onthouden toch al geen gebruik van maakt.

Met vriendelijke groet,

[atlan57]

Ik verblijf regelmatig voor langere tijd in het buitenland.
Als ik mijn tancodes via SMS zou moeten ontvangen daar , brengt dit extra kosten voor mij mee. Nu neem ik een copy van mijn tanlijst mee, en kan ook daar gewoon bankieren, wat ik al jaren doe.
De tanlijst is ten allentijde veilig, omdat er voor elke transactie een andere code gevraagd wordt, die maar eenmalig is.
Bij een foute intoets van de code, wordt er automatisch een nieuwe code gevraagd: makkelijk toch ?, hier kan normalieter niets fout mee gaan.
Gewoon laten zoals het is, zonder eventuele problemen te zoeken.

[Janoz]

TAN-codes op papier blijven inderdaad nog wel veilig. Het probleem is echter dat dit alleen geld voor de mensen die nog papieren TAN-code lijsten hebben. Mensen die al hun mobiel gebruiken of nieuwe klanten hebben niet meer de mogelijkheid om over te stappen op de papieren variant.

[ingwebcareteam]

In navolging op eerdere reacties van de ING in de media over dit onderwerp willen wij graag benadrukken dat de ING uitgaat van een goede balans tussen veiligheid van internetbankieren en toegankelijkheid en klantvriendelijk voor klanten. De ING maakt gebruikt van een systematiek die wereldwijd wordt gebruik.

De ING biedt klanten een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan de richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren. Meer informatie over veilig internetbankieren bij de ING kunt u teruglezen op: http://www.ing.nl/particulier/internetb ... index.aspx

[Janoz]

In navolging op eerdere reacties van de ING in de media over dit onderwerp willen wij graag benadrukken dat de ING uitgaat van een goede balans tussen veiligheid van internetbankieren en toegankelijkheid en klantvriendelijk voor klanten. De ING maakt gebruikt van een systematiek die wereldwijd wordt gebruik.

Wereldwijd wordt gebruik gemaakt van het principe dat bepaalde gegevens prive en geheim gehouden moeten worden. De ING gebruikt hiervoor echter de gebruikersnaam terwijl de rest van de wereld hiervoor het wachtwoord gebruikt.

De ING biedt klanten een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan de richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren. Meer informatie over veilig internetbankieren bij de ING kunt u teruglezen op: http://www.ing.nl/particulier/internetb ... index.aspx

Dit standaard blokje tekst heb ik nu al meerdere keren geknipt en geplakt zien worden. Met alle respect, maar kap nu eens met die "Vertrouw ons nu maar, wij weten wel waar we het over hebben dus neem maar aan dat het goed zit". Dat doe ik niet. Ik neem dingen niet zomaar aan, zeker niet wanneer hetgeen mij verteld wordt op mij nogal onlogisch overkomt.

Ga nu eens in op de daadwerkelijke bezwaren. Neem mijn post en wijs mij aan waar mijn redenatie mis loopt. Beargumenteer waarom ik het bij het verkeerde eind heb. Laat zien waar de gaten in mijn redenatie zitten.

[nicolaasbeets]

Citaat van de ING website (de link die in deze topic genoemd wordt)

Er zijn bedrijven actief op internet die uw betaling voor aankopen op internet via hun eigen website geleiden. Daarbij wordt u gevraagd uw gebruikersnaam en wachtwoord op de site van het bedrijf in te vullen zonder dat u doorgestuurd wordt naar Mijn ING. Doe dit nooit. De ING kan de veiligheid van uw gegevens niet garanderen als u uw gebruikersnaam en wachtwoord achterlaat op andere sites dan Mijn ING. Op basis van artikel 2.5 Voorwaarden Mijn ING is dit ook niet toegestaan en deze bedrijven hebben hiervoor geen overeenkomst met ING afgesloten. Voor eventuele schade die hieruit voortvloeit kan de ING op grond van artikel 5.5 Voorwaarden Mijn ING niet aansprakelijk worden gesteld.

Ook bij de zogenaamde gratis digitale huishoudboekjes op internet, zoals cashflow online cashflow.nl moet je je gebruikersnaam en wachtwoord van mijning.nl plaatsen om de gegevens in te laden. ING is erg onduidelijk of dit soort services ook onder de genoemde soort bedrijven valt. ING zegt dus op hun site geen overeenkomst met commerciele bedrijven zoals Cashflow te hebben, maar ze verkopen wel de pc-software van Cashflow. Vreemd. Bovendien is onduidelijk of bovenstaande ook geldt voor andere digitale huishoudboekjes waar je ook je gebruikersnaam en wachtwoord van ING moet achterlaten. ING´s eigen TIM wat ze dit jaar lanceren is dus eigenlijk in strijd met hun eigen regels. Opmerkelijk. Misschien zou dat webcareteammeneertje dat eens uit willen leggen. Is bovenstaande citaat van de ing-website wel of niet van toepassing op de Digitale online huishoudboekjes zoals cashflow.nl en dus ook straks op TIM of niet

[.oisyn]

In navolging op eerdere reacties van de ING in de media over dit onderwerp willen wij graag benadrukken dat de ING uitgaat van een goede balans tussen veiligheid van internetbankieren en toegankelijkheid en klantvriendelijk voor klanten. De ING maakt gebruikt van een systematiek die wereldwijd wordt gebruik.

De ING biedt klanten een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan de richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren. Meer informatie over veilig internetbankieren bij de ING kunt u teruglezen op: http://www.ing.nl/particulier/internetb ... index.aspx

Is het niet handiger als jullie gewoon iemand met verstand van zaken hier laten reageren? Dat bla-verhaal heb ik zo onderhand al wel gehoord. Voor het geval je het nog niet doorhad, een argument wordt heus niet plotseling een feit door het in den treure te herhalen.

Dit naast het feit dat het ook nog eens onzin is. Geef bijvoorbeeld eens wat voorbeelden van grote internationale banken waar je in kunt loggen en geld kunt overmaken als je beschikt over een gebruikersnaam+telefoon+portemonnee van iemand? Want die zouden voorhanden moeten zijn als je claimt dat de ING zogenaamd "wereldwijde systematiek" gebruikt.