[Risico] Aanpassing wachtwoord-retrieval MijnING.nl

maandag 25 januari 2010 11:47

Acties:

0 Henk 'm!

Topicstarter

Ik ben benieuwd naar jullie mening over de aangekondigde wijziging in de wachtwoord-retrieval van MijnING.nl.

Oud
In de huidige situatie kan de gebruiker in het geval hij zijn wachtwoord vergeten is, een nieuw wachtwoord aanvragen door op de site een formulier in te vullen of de klantenservice te bellen. Het nieuwe wachtwoord wordt dan per post gestuurd naar het dichtsbijzijnde postkantoor, waar het met een identificatiebewijs persoonlijk kan worden opgehaald. Deze procedure duurt een dag of vijf.

De beveiliging van transacties werkt verder met TAN codes, die ofwel op papier, ofwel via SMS naar een zelf in te stellen telefoonnummer kunnen worden gestuurd. Voor elke transactie is een nieuwe TAN code vereist. Hiermee voldoet de beveiliging in mijn optiek aan "something you know + something you have" (gebruikersnaam/wachtwoord + telefoon/TAN-lijst). De procedure is m.i. goed genoeg voor de beveiliging van mijn gegevens.

Nieuw
In de nieuwe situatie kan een gebruiker die een telefoonnummer heeft ingesteld (en dus TAN codes via SMS ontvangt), een nieuw wachtwoord direct opvragen via de site. Dit wachtwoord wordt via SMS gestuurd naar de telefoon.

Het opnieuw aanvragen van uw inloggegevens wordt vanaf maart 2010 eenvoudiger. U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden. Daarnaast kunt u als u TAN-sms gebruikt een nieuw wachtwoord ontvangen per sms-bericht.

Het sms-bericht ontvangt u op uw mobiele telefoon waarvan het nummer geregistreerd staat in Mijn ING. U kunt vervolgens binnen 30 minuten inloggen met uw gebruikersnaam en het nieuwe wachtwoord. Dit nieuwe wachtwoord wijzigt u direct.

In mijn optiek maakt met name dit laatste het hele systeem heel veel onveiliger, aangezien kennis van de gebruikersnaam (die geraden of afgekeken kan worden) + bezit van de telefoon nu voldoende is om het hele account over te nemen.

Risico
Dus als ik mijn telefoon verlies of als deze gestolen wordt, ben ik door deze wijziging zwaar de sigaar. Ik kan namelijk het telefoonnummer niet direct wijzigen (hiervoor heb ik namelijk een TAN nodig, die naar diezelfde telefoon wordt gestuurd) en de eventuele oneerlijke vinder of dief kan direct aan de gang met een nieuw wachtwoord dat ik niet ken. De enige "beveiliging" hiertegen is dan nog mijn gebruikersnaam, die ik volgens mij niet voldoende kan beveiligen, zelfs als ik dat zou willen.

Ik heb hierover gemaild met ING en de reactie is dat zij van mening zijn dat het veilig is (duh!) en dat ik mijn gebruikersnaam maar goed geheim moet houden en regelmatig moet wijzigen.

RFC
Ik ben benieuwd hoe anderen hier over denken.

Is de nieuwe procedure onveilig? Onveiliger dan de oude procedure, maar nog steeds veilig genoeg?

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 11:51

Acties:

0 Henk 'm!

Silver7

Er is in ieder geval een lijst met TAN-codes nodig.

Dus die dief moet dan nog inbreken in jouw huis.

Foutje van me!

[ Voor 10% gewijzigd door Silver7 op 25-01-2010 11:52 ]

maandag 25 januari 2010 11:51

Acties:

0 Henk 'm!

Rukapul

Ik heb nergens nog deze wijziging vernomen dus ik ga even uit van wat je beschrijft.

Ik ben het met je eens: de gebruikersnaam is geen geheim en voor veel mensen eenvoudig raadbaar. Door deze wijziging komt de volledige beveiliging af te hangen van het bezit van de telefoon (of zelfs toegang tot het onbeveiligde pad dat de SMS aflegt):
• wachtwoord wordt via SMS afgeleverd
• TAN codes worden via SMS afgeleverd
• gebruikersnaam is geen geheim en mag ook niet als zodanig beschouwd worden

Het hele idee van een password reset is dat je het out-of-band laat plaatsvinden. SMS is in dit geval in-band omdat het al binnen het reguliere process gebruikt wordt.

Indien dit werkelijk klopt dan is het tijd voor een opiniestuk

[ Voor 28% gewijzigd door Rukapul op 25-01-2010 11:54 ]

maandag 25 januari 2010 11:52

Acties:

0 Henk 'm!

RKD

Silver7 schreef op maandag 25 januari 2010 @ 11:51:
Er is in ieder geval een lijst met TAN-codes nodig.

Dus die dief moet dan nog inbreken in jouw huis.

Je kan de TAN codes ook via SMS binnen laten komen

Ik moet toevoegen dat ik dit een grote achteruitgang vind in vergelijk met het oude systeem, hierdoor verwacht ik dat ze veel problemen zullen krijgen.

[ Voor 22% gewijzigd door RKD op 25-01-2010 11:53 ]

iRacing Profiel

maandag 25 januari 2010 11:55

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

Rukapul schreef op maandag 25 januari 2010 @ 11:51:
Ik heb nergens nog deze wijziging vernomen dus ik ga even uit van wat je beschrijft.

Ik heb even een link naar de aankondiging opgenomen in de TS. Deze link staat bij mij ook in MijnING.nl (als ik ingelogd ben, linksboven).

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 11:55

Acties:

0 Henk 'm!

Silver7

Volgens mij zijn ze aan het wegen.

Willen ze meer gemakt = minder beveiliging
Willen ze meer beveiliging = minder gemak

Wil je zekerheid hebben in beveiliging, dan moet je stoppen met TAN-SMS en voortaan met TAN-lijst werken.

[ Voor 30% gewijzigd door Silver7 op 25-01-2010 11:57 ]

maandag 25 januari 2010 11:56

Acties:

0 Henk 'm!

Rukapul

Verwerpelijk:

Indien u het niet eens bent met de wijziging heeft u het recht de overeenkomst van uw betaalproduct of betaalinstrument met onmiddellijke ingang kosteloos op te zeggen vóór de ingangsdatum van de wijziging. Doet u dit niet, dan betekent dit dat u de wijziging aanvaardt.

[ Voor 3% gewijzigd door Rukapul op 26-01-2010 11:46 ]

maandag 25 januari 2010 11:56

Acties:

0 Henk 'm!

CLB

Dan gaat het vraagstuk imho eigenlijk meer over het feit 'of je je naasten kunt vertrouwen'.
Aangezien je daarbij wel is internetbankiert en dergelijke en dus je gebruikersnaam / password kunnen weten.

Gaat me erg ver om bijvoorbeeld te zeggen, dat dit eventueel eerst wordt afgekeken met software
geinstalleerd op je computer door derden, die dat vervolgens bekijken en daarna nog is je telefoon gaan jatten...

De oude manier van verifieren is inderdaad stuk lastiger / handiger / moeilijker.
Maarja kost de ING zeker teveel tijd, werk, geld (enveloppen / postzegels)...

EDIT: Is er geen (landelijke) petitie op te starten? Denk dat ze zo om zijn met tig duizend stemmen..

[ Voor 8% gewijzigd door CLB op 25-01-2010 11:57 ]

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

maandag 25 januari 2010 11:58

Acties:

0 Henk 'm!

djluc

Hoe zit het met aansprakelijkheid bij een overname van je account? Neem aan dat je als gebruiker 100% aansprakelijk bent?

maandag 25 januari 2010 11:58

Acties:

0 Henk 'm!

RemcoDelft

Ik verbaasde me ook over deze wijziging! Gelukkig heb ik gewoon papieren TAN-codes (een foto van die lijst staat op de encrypted partitie op m'n laptop, dus heb ik altijd bij me), dus voor mij is dit geen risico.

Sowieso zie ik het probleem van de oude situatie niet zo, wat is er mis met wat meer moeite, die ene keer dat je je wachtwoord kwijt zou zijn? Het hele idee was juist om je wachtwoord en TAN-codes altijd gescheiden te bewaren, daar stappen ze nu van af. Slechte zaak wat mij betreft.

maandag 25 januari 2010 12:01

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

CLB schreef op maandag 25 januari 2010 @ 11:56:
Dan gaat het vraagstuk imho eigenlijk meer over het feit 'of je je naasten kunt vertrouwen'.
Aangezien je daarbij wel is internetbankiert en dergelijke en dus je gebruikersnaam / password kunnen weten.

Gaat me erg ver om bijvoorbeeld te zeggen, dat dit eventueel eerst wordt afgekeken met software
geinstalleerd op je computer door derden, die dat vervolgens bekijken en daarna nog is je telefoon gaan jatten...

De oude manier van verifieren is inderdaad stuk lastiger / handiger / moeilijker.
Maarja kost de ING zeker teveel tijd, werk, geld (enveloppen / postzegels)...

Gebruikersnaam achterhalen hoeft niet met software, even over de schouder meekijken (op het werk of in een internet-café of bibliotheek bijv.) is voldoende om de gebruikersnaam te achterhalen.

offtopic:
En aangezien de GSM beveiliging ook gekraakt is, is zelfs diefstal van de telefoon straks niet meer nodig: simpelweg een nieuw wachtwoord aanvragen en dat afluisteren kan dan al voldoende zijn.

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 12:01

Acties:

0 Henk 'm!

Polster

Gemakkelijker is het zeker wel. Ik had laatst 2x/3x mijn wachtwoord verkeerd ingevoerd en ik moest dus gaan zitten wachten op een brief dat mijn nieuwe wachtwoord op een ING kantoor zou liggen. Na een week nog geen brief. Klantenservice gebeld en ze zouden hem opnieuw sturen. Na nog een week brief ontvangen, mocht ik drie kwartier wachten op het ING kantoor voordat ik aan de beurt was. Uiteindelijk dus 2 weken lang niet bij mijn online bankrekening gekund. Toentertijd vond ik het een achterlijk gebeuren, maar aan de andere kant, zoals het nu wordt is inderdaad ook niet best. En hoe vaak vergeet je nu je wachtwoord?

maandag 25 januari 2010 12:03

Acties:

0 Henk 'm!

CLB

Mwah dat vind ik wel erg ver gaan, je moet niet internetbankieren op je werk / internetcafe, dunkt me.
Die gekraakte beveiliging van GSM's erbij halen is helemaal een punt die niet in deze discussie hoort imho.

Ik schrijf ook een klacht naar de ING, I'll keep you informed.
En ik zoek een website waar je een petitie kunt opstarten...

Waarschijnlijk leest het merendeel van de ING-gebruikers dit niet eens, en een groot deel begrijpt het niet.
Dan wordt het misschien toch is overstappen op papieren TAN-codes, maarja dan moet je daar altijd mee lopen.

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

maandag 25 januari 2010 12:03

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

RemcoDelft schreef op maandag 25 januari 2010 @ 11:58:
Ik verbaasde me ook over deze wijziging! Gelukkig heb ik gewoon papieren TAN-codes (een foto van die lijst staat op de encrypted partitie op m'n laptop, dus heb ik altijd bij me), dus voor mij is dit geen risico.

Sowieso zie ik het probleem van de oude situatie niet zo, wat is er mis met wat meer moeite, die ene keer dat je je wachtwoord kwijt zou zijn? Het hele idee was juist om je wachtwoord en TAN-codes altijd gescheiden te bewaren, daar stappen ze nu van af. Slechte zaak wat mij betreft.

Ik moet zeggen dat de TAN-SMS wel heel veel gemak met zich meebrengt, anders ging ik zo weer over naar een papieren lijst. Telefoon heb ik altijd bij me, dat is wel een groot voordeel boven die lijst (of de calculators die andere banken gebruiken).

Verder ben ik het met je eens: die oude procedure was omslachtig, maar ik heb hem nog nooit nodig gehad. Het is niet alsof internetbankieren vergelijkbaar is met "random forum Foo" waar je een keer je pass kan vergeten...

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 12:04

Acties:

0 Henk 'm!

RemcoDelft

Polster schreef op maandag 25 januari 2010 @ 12:01:
Na een week nog geen brief. Klantenservice gebeld en ze zouden hem opnieuw sturen. Na nog een week brief ontvangen, mocht ik drie kwartier wachten op het ING kantoor voordat ik aan de beurt was. Uiteindelijk dus 2 weken lang niet bij mijn online bankrekening gekund.

Voor dergelijke "noodgevallen" heb ik een MSN-saldo/mutaties-mogelijkheid, en overschrijven kan altijd nog per ouderwets formulier. Oftewel het zal niet gebeuren dat ik 2 weken niks kan zien.

maandag 25 januari 2010 12:05

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

CLB schreef op maandag 25 januari 2010 @ 12:03:
Mwah dat vind ik wel erg ver gaan, je moet niet internetbankieren op je werk / internetcafe, dunkt me.

[...]

Dan wordt het misschien toch is overstappen op papieren TAN-codes, maarja dan moet je daar altijd mee lopen.

Als je toch niet op je werk/internetcafé bankiert, hoef je die lijst ook niet mee te sjouwen

En soms ontkom je er niet aan, bijvoorbeeld op vakantie is het toch wel erg handig dat je de boel kan checken/transacties kan doen.

offtopic:
Heb het 'GSM gekraakt' verhaal even offtopic gemaakt, daar heb je gelijk in, hoewel het niet helemaal ondenkbaar is.

[ Voor 11% gewijzigd door Herko_ter_Horst op 25-01-2010 12:09 ]

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 12:09

Acties:

0 Henk 'm!

CLB

That's true, maar op vakantie zijn er geen Nederlanders die over je schouder meekijken

Om niet verder offtopic te gaan, de nieuwe regeling is best but geregeld. Wat ze nog zouden kunnen doen is het telefoonnummer bellen die aan het account gekoppeld zit. Dit om te verifieren of er daadwerkelijk wel een password mist en of degene die wordt gebeld daadwerkelijk de rekeninghouder is. Zelfde als met het aanvragen van een CreditCard via de ING, daar werd ik ook persoonlijk over gebeld om alles te verifieren...

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

maandag 25 januari 2010 12:09

Acties:

0 Henk 'm!

gertvdijk

Het is dat ik al weg ben bij ING sinds de invoering van het systeem van de (oude) Postbank ook verplicht werd voor (oud) ING Bank klanten, maar dit zou voor mij een flinke dealbreaker zijn. Het is namelijk gewoonweg té eenvoudig om misbruik te gaan maken.

Daarnaast... de nieuwe voorwaarden stellen nu gebruikersnaam, wachtwoord en TAN-code aan elkaar gelijk in geheimhoudingsplicht van de klant. Wat is nu nog het verschil tussen gebruikersnaam en wachtwoord? Waarom zou je ze nog beide gebruiken in een dergelijk systeem? De optie bestaat juist om je wachtwoord gebruikersnaam op te slaan in je pc op de website, terwijl de voorwaarden dit verbieden...

[ Voor 11% gewijzigd door gertvdijk op 25-01-2010 22:38 ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

maandag 25 januari 2010 12:09

Acties:

0 Henk 'm!

RemcoDelft

CLB schreef op maandag 25 januari 2010 @ 12:03:
Ik schrijf ook een klacht naar de ING, I'll keep you informed.
En ik zoek een website waar je een petitie kunt opstarten...

Aan de andere kant: als je kijkt hoe dieptriest de beveiliging op PINpassen is, is het niet verwonderlijk dat het de bank zelf weinig kan schelen... Waarschijnlijk nemen ze het risico (en wellicht een paar ton schade per jaar) voor lief, gezien de enorme besparing aan kosten (ik neem aan dat van de 8 miljoen klanten best veel mensen af en toe hun codes kwijt zijn!).

maandag 25 januari 2010 12:19

Acties:

0 Henk 'm!

LuckY

Tsjah dat wordt dan maar weer vaak username en password wijzigen, gelukkig kan je @ de ING je username ook wijzigen.

Echter blijf je het probleem van phising/sniffing/keylogger houden, dan hebben ze direct je username en password. Nu wordt echter je mobiel een grotere SPOF. Ik vraag me af in hoeverre het dan mogelijk is om je wachtwoord te veranderen als je de telefoon kwijt ben.

Er zijn immers genoeg bluetooth exploits om telefoonboeken of smsjes te kopieren.

Ik ben sowieso al van mening als iemand een gerichte aanval op je wilt doen pakt die je toch wel.
Mompelt iets over MD5 collisions en dns poisening.

Ik ben hier geen fan van, maar je kan er weinig aan doen.

gertvdijk schreef op maandag 25 januari 2010 @ 12:09:
Het is dat ik al weg ben bij ING sinds de invoering van het systeem van de (oude) Postbank ook verplicht werd voor (oud) ING Bank klanten, maar dit zou voor mij een flinke dealbreaker zijn. Het is namelijk gewoonweg té eenvoudig om misbruik te gaan maken.

Daarnaast... de nieuwe voorwaarden stellen nu gebruikersnaam, wachtwoord en TAN-code aan elkaar gelijk in geheimhoudingsplicht van de klant. Wat is nu nog het verschil tussen gebruikersnaam en wachtwoord? Waarom zou je ze nog beide gebruiken in een dergelijk systeem? De optie bestaat juist om je wachtwoord op te slaan in je pc op de website, terwijl de voorwaarden dit verbieden...

Bij de ING kan je de gebruikersnaam opslaan, en niet het wachtwoord! (met uitzondering van dingen zoals je keychain). Tevens kan je ook je gebruikersnaam zo random houden als je wilt door veranderen e.d. echter hoe veilig is het veranderen als je het ergens invoert en het wordt afgeluisterd.

RemcoDelft schreef op maandag 25 januari 2010 @ 12:09:
[...]

Aan de andere kant: als je kijkt hoe dieptriest de beveiliging op PINpassen is, is het niet verwonderlijk dat het de bank zelf weinig kan schelen... Waarschijnlijk nemen ze het risico (en wellicht een paar ton schade per jaar) voor lief, gezien de enorme besparing aan kosten (ik neem aan dat van de 8 miljoen klanten best veel mensen af en toe hun codes kwijt zijn!).

Bij skimming hebben ze ook alleen maar imago schade van de PIN betaald de geskimde bedragen.

[ Voor 57% gewijzigd door LuckY op 25-01-2010 12:24 ]

maandag 25 januari 2010 19:00

Acties:

0 Henk 'm!

alt-92

ye olde farte

gertvdijk schreef op maandag 25 januari 2010 @ 12:09:
De optie bestaat juist om je wachtwoord op te slaan in je pc op de website, terwijl de voorwaarden dit verbieden...

Dat die optie bestaat wil nog niet zeggen dat je 'm voor alles wat los en vast zit moet gebruiken natuurlijk.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 25 januari 2010 19:08

Acties:

0 Henk 'm!

gertvdijk

alt-92 schreef op maandag 25 januari 2010 @ 19:00:
Dat die optie bestaat wil nog niet zeggen dat je 'm voor alles wat los en vast zit moet gebruiken natuurlijk.

Dat zeg ik toch ook niet? Ik merk alleen op dat het nogal ironisch is dat Mijn ING enerzijds de klant verplict zijn gebruikersnaam geheim te houden (volgens voorwaarden mag hij hem niet opslaan/opschrijven e.d.), maar anderzijds laat ING wel een cookie toe om het gebruikersnaam in de browser van de klant op te slaan.

[ Voor 0% gewijzigd door gertvdijk op 25-01-2010 22:39 . Reden: foutje in mijn post hierboven; wachtwoord en gebruikersnaam verwisseld. ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

maandag 25 januari 2010 19:22

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Ik zie het probleem niet echt. Er staat dat mensen die TAN per SMS hebben dus het wachtwoord kunnen opvragen welk dan per SMS wordt verstuurd.

Ik doe niet aan TAN per SMS, want ik doe gewoon m'n bankzaken thuis, en niet elders, dus niet nodig dat het over de SMS gaat.

Ik neem aan dat je niet met je gebruikersnaam van de ING te koop loopt (als in: die hou je voor je zelf). De kans dat als je je telefoon kwijt bent, je direct ook aan die persoon je login hebt gegeven.

Voor de gene die zo snugger zijn geweest om hun login met anderen te delen, je kan ook gewoon je gebruikersnaam veranderen.

Ey!! Macarena \o/

maandag 25 januari 2010 20:35

Acties:

0 Henk 'm!

Rukapul

RaZ schreef op maandag 25 januari 2010 @ 19:22:
Ik neem aan dat je niet met je gebruikersnaam van de ING te koop loopt (als in: die hou je voor je zelf). De kans dat als je je telefoon kwijt bent, je direct ook aan die persoon je login hebt gegeven.

Voor de gene die zo snugger zijn geweest om hun login met anderen te delen, je kan ook gewoon je gebruikersnaam veranderen.

De gebruikersnaam is en blijft geen geheim. Hem geheim 'verklaren' per decreet is ook geen oplossing. Iets is pas namelijk een oplossing wanneer in het grote geheel en voor het grote publiek het werkt. Daar hoort het geheim verklaren van een gebruikersnaam die tot voor kort die kwalificatie niet behoefde niet toe

Dat iets niet publiek is betekent nog niet dat het een geheim is.

Er zijn legio scenarios in het dagelijkse leven waarbij gebruikersnamen zullen lekken. Een voor de hand liggende is meekijken op het scherm, het 'onhoudt gebruikersnaam' vinkje, het gebruikersnaam=rekeningnr idee (heb ik om mij heen in elk geval gehoord), en gebruikersnaam=reguliere gebruikersnaam idee, etc. etc. (Waarschijnlijk zal er ook nog wel een (onveilige) methode zijn om de gebruikersnaam op te vragen.)

In praktische zin zet ING de deur wagenwijd open voor fraude door mensen in de directe omgeving: kennissen, familie, collega's, kinderen, etc. etc.

Het is een dom idee en is ook strijdig met elke good security practice op dit gebied.

maandag 25 januari 2010 20:42

Acties:

0 Henk 'm!

alt-92

ye olde farte

gertvdijk schreef op maandag 25 januari 2010 @ 19:08:
[...]

Dat zeg ik toch ook niet? Ik merk alleen op dat het nogal ironisch is dat Mijn ING enerzijds de klant verplict zijn gebruikersnaam geheim te houden

Waarom begin je dan over een wachtwoord?

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

maandag 25 januari 2010 21:24

Acties:

0 Henk 'm!

Rukapul

Ik zit erover te denken om mijn gedachten maar eens met ING te delen:

Geachte heer/mevrouw,

Via Mijn.ING werd ik verwezen naar http://www.ing.nl/particu...-in-voorwaarden-mijn-ing/ waarbij een wijziging van de functionaliteit en voorwaarden wordt geintroduceerd: "Daarnaast kunt u als u TAN-sms gebruikt een nieuw wachtwoord ontvangen per sms-bericht. "

Dit is een grove verslechtering van de veiligheid van bankieren via Mijn.ING wanneer er gebruikt gemaakt wordt van TAN per SMS. Eenvoudig gesteld komt het erop neer dat iemand die in de gelegenheid is om de gebruikersnaam te raden, af te lezen of anderszinds te bemachtigen en toegang heeft tot de GSM de gelegenheid heeft om het wachtwoord aan te passen, in te loggen en transacties uit te voeren. Het zal niet verbazen als dat per individu in Nederland al gauw meerdere mensen zal betreffen, veelal goedaardig, en soms helaas kwaadaardig.

U ontneemt uw klanten met deze wijziging de veiligheid die geboden wordt door de absolute noodzaak tot het kennen van een geheim dat alleen zijzelf kennen danwel het persoonlijk met legitimatie afhalen van een nieuw geheim wachtwoord bij het postkantoor.

Door zowel de wachtwoordreset alswel de TAN-codes per SMS te laten verlopen is geen sprake meer van two-factor authenticatie/authorisatie in de zuivere betekenis ervan en tevens worden in-band en out-of-band concepten vermengd door het SMS kanaal voor meerdere doeleinden te gebruiken.

U vergroot hiermee ongevraagd voor veel mensen het gebruiksrisico van Mijn.ING. Immers, volgens uw voorwaarden zijn het uw klanten die aansprakelijkheid dragen.

Ik vraag u deze maatregel terug te draaien zodat ik en uw andere klanten veilig van TAN per SMS gebruik kunnen blijven maken.

Met vriendelijke groet,

[ Voor 57% gewijzigd door Rukapul op 25-01-2010 23:09 ]

maandag 25 januari 2010 21:27

Acties:

0 Henk 'm!

CLB

Al ingestuurd of niet? Ik had 'n soortegelijke klacht, ook qua lengte, maar die was te lang haha *fail*

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

maandag 25 januari 2010 21:31

Acties:

0 Henk 'm!

Rukapul

Nog niet verstuurd. Typisch krijg ik nog goede ideeen als ik er nog een keer naar kijk

Hij paste wel in het ING webform. Besloot echter om hem hier ook alvast maar neer te zetten

[ Voor 35% gewijzigd door Rukapul op 25-01-2010 21:31 ]

maandag 25 januari 2010 21:34

Acties:

0 Henk 'm!

Megamind

Ik heb het nog niet voorbij zien komen, maar op mijn PC bewaar ik gewoon mijn inlognaam.

Als iemand dus mijn laptop + telefoon jat (beroving oid) dan kan deze binnen 30 minuten al mijn geld van mijn rekening afhalen!

Ook gelijk een klacht gestuurd, want ik wil mijn geld wel veilig hebben!

[ Voor 14% gewijzigd door Megamind op 25-01-2010 21:34 ]

maandag 25 januari 2010 21:39

Acties:

0 Henk 'm!

Badtothebone

hatsieflatsie

Rukapul schreef op maandag 25 januari 2010 @ 21:24:
Ik zit erover te denken om mijn gedachten maar eens met ING te delen:

[...]

edit:
Even checken of mijn stuk over 'post' klopt ivm:
Jij snapt het

[...]

Dit klinkt goed maar ik ben bang dat het toch terecht komt bij een service desk miep die er de ballen verstand van heeft en dat je dan een standaard antwoord terug krijgt.

Ik ga hier ervan uit dat je het via de web verstuurt en niet direct naar de hoofd web beveiliging ING

https://valid.x86.fr/xhfd5e

maandag 25 januari 2010 21:41

Acties:

0 Henk 'm!

Rukapul

webform + kopie per fysieke post

maandag 25 januari 2010 21:43

Acties:

0 Henk 'm!

Wolly

Dus als ik het goed begrijp wordt de gebruikersnaam ook 'geheim' verklaard, maar zie je deze gewoon wanneer je inlogt? Dus niet zo'n sterretjes invoerveld als bij wachtwoord?

Epic fail

Uit de FAQ:

Kan ik mijn gebruikersnaam voor Mijn ING onthouden op mijn computer?
Ja, op het inlogscherm van Mijn ING kunt u aanvinken dat u de gebruikersnaam wilt onthouden op uw pc. Dit gebeurt met behulp van een cookie. Let op: zodra u cookies verwijdert op uw computer, zal ook de onthouden gebruikersnaam verdwijnen. Het is dus belangrijk dat u de gebruikersnaam ook zelf goed onthoud.

Let op: vink ‘Gebruikersnaam onthouden’ alleen aan op uw eigen computer.

[ Voor 63% gewijzigd door Wolly op 25-01-2010 21:44 ]

maandag 25 januari 2010 21:46

Acties:

0 Henk 'm!

Rukapul

Strikt genomen is die al supergeheim volgens de ING voorwaarden (nieuwe voorwaarden, maar in de oude stond het voor zover ik weet ook):

12 Bewaren
U moet uw gebruikersnaam, wachtwoord en TAN-codes altijd veilig bewaren en voor u zelf houden. Daarvoor gelden deze regels:
- Laat uw gebruikersnaam, wachtwoord en TAN-codes niet aan anderen zien en vertel deze ook niet aan anderen.
- Schrijf uw gebruikersnaam en wachtwoord niet op, en sla ze niet op.

"Sla uw gebruikersnaam niet op en maak dus geen gebruik van het vinkje op onze website"

maandag 25 januari 2010 21:48

Acties:

0 Henk 'm!

Megamind

Rukapul schreef op maandag 25 januari 2010 @ 21:46:
"Sla uw gebruikersnaam niet op en maak dus geen gebruik van het vinkje op onze website"

Wtf daarom hebben ze zeker zo'n makkelijk "onthoud mijn gebruikersnaam" vakje...

maandag 25 januari 2010 21:50

Acties:

0 Henk 'm!

Wolly

Deze is ook mooi,

Handig om te weten
De ING gebruikt uw mobiele telefoonnummer alleen om u per sms-bericht TAN-codes toe te sturen. Is uw mobiele telefoon gestolen? Niemand kan iets met een TAN-code zonder uw gebruikersnaam en wachtwoord voor Mijn ING. Geef deze strikt persoonlijke gegevens dus nooit aan anderen.
.

Dit zal dus moeten worden:

Handig om te weten
De ING gebruikt uw mobiele telefoonnummer alleen om u per sms-bericht TAN-codes toe te sturen. Is uw mobiele telefoon gestolen? Niemand kan iets met een TAN-code zonder uw gebruikersnaam en wachtwoord voor Mijn ING. Geef deze strikt persoonlijke gegevens dus nooit aan anderen.
.

Dit zaakje stinkt, er hebben nu iets teveel handige Harries naar gekeken en te weinig beveiligings experts die er vanaf het begin bij betrokken waren.

maandag 25 januari 2010 21:51

Acties:

0 Henk 'm!

MsG

Forumzwerver

Ik vind het juist wel handig. Ik was laatst mijn wachtwoord kwijt, door die irritante verplichte wachtwoord-verandering 1 x per jaar (ook al zoiets vreselijks), en kon toen echt iets van 1.5 week helemaal niks qua digitale betaling. Mensen die je niet mag en waarvan je wel de gebruikersnaam weet kan je nu ook al het leven zuur maken door daar mee aldoor verkeerd in te loggen en zo oneindig het wachtwoord te resetten zodat diegene niks kan met zijn internetbankieren.

Denk om uw spatiegebruik. Dit scheelt Tweakers.net kostbare databaseruimte! | Groninger en geïnteresseerd in Domotica? Kom naar DomoticaGrunn

maandag 25 januari 2010 21:54

Acties:

0 Henk 'm!

RemcoDelft

CLB schreef op maandag 25 januari 2010 @ 21:27:
Al ingestuurd of niet? Ik had 'n soortegelijke klacht, ook qua lengte, maar die was te lang haha *fail*

Uitprinten en in een gratis giroenvelop?

maandag 25 januari 2010 21:55

Acties:

0 Henk 'm!

CLB

Nouja dan heb je even een weekje papieren afschriften nodig.. of je fixt 't via de rekening van je meisje / ouders..

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

maandag 25 januari 2010 21:58

Acties:

0 Henk 'm!

Rukapul

MsG schreef op maandag 25 januari 2010 @ 21:51:
Ik vind het juist wel handig. Ik was laatst mijn wachtwoord kwijt, door die irritante verplichte wachtwoord-verandering 1 x per jaar (ook al zoiets vreselijks), en kon toen echt iets van 1.5 week helemaal niks qua digitale betaling. Mensen die je niet mag en waarvan je wel de gebruikersnaam weet kan je nu ook al het leven zuur maken door daar mee aldoor verkeerd in te loggen en zo oneindig het wachtwoord te resetten zodat diegene niks kan met zijn internetbankieren.

Een door jezelf of door anderen veroorzaakte denial of service is inderdaad niet fijn, maar nog altijd een graadje minder erg dan een berg poen kwijt zijn.

Bovendien is een door anderen veroorzaakte DoS detecteerbaar en daarmee oplosbaar door de gebruikersnaam te wijzigen. Helaas geldt dat niet voor het diefstal scenario want dat heb je pas door als het geld weg is.

[ Voor 12% gewijzigd door Rukapul op 25-01-2010 21:59 ]

maandag 25 januari 2010 22:02

Acties:

0 Henk 'm!

RemcoDelft

Badtothebone schreef op maandag 25 januari 2010 @ 21:39:
[...]

Dit klinkt goed maar ik ben bang dat het toch terecht komt bij een service desk miep die er de ballen verstand van heeft en dat je dan een standaard antwoord terug krijgt.

Ik heb jaren geleden een brief gestuurd over het feit dat de Postbank online de mutaties en het saldo niet gelijktijdig aanpast, dat ze soms een mutatie tijdelijk 2 keer in de lijst hebben staan, en dat mutaties soms een uur later weer weg zijn, om daarna weer terug te komen in de lijst. Hierop werd ik gebeld door iemand van de Postbank, die me vertelde dat ze daar echt niks aan konden doen, omdat het systeem nou eenmaal zo werkte

maandag 25 januari 2010 22:07

Acties:

0 Henk 'm!

ralpje

Deugpopje

MsG schreef op maandag 25 januari 2010 @ 21:51:
Mensen die je niet mag en waarvan je wel de gebruikersnaam weet kan je nu ook al het leven zuur maken door daar mee aldoor verkeerd in te loggen en zo oneindig het wachtwoord te resetten zodat diegene niks kan met zijn internetbankieren.

... En in de nieuwe situatie zorg je dat je even de telefoon in je handen hebt, en kun je de rekening leeghalen.

Freelance (Microsoft) Cloud Consultant & Microsoft Certified Trainer

maandag 25 januari 2010 22:08

Acties:

0 Henk 'm!

Megamind

Misschien kan iemand die goed kan schrijven ook direct naar wat grote kranten te schrijven, die houden vaak wel van dit soort ongein.

maandag 25 januari 2010 22:08

Acties:

0 Henk 'm!

Wolly

Megamind schreef op maandag 25 januari 2010 @ 21:34:
Ik heb het nog niet voorbij zien komen, maar op mijn PC bewaar ik gewoon mijn inlognaam.

Als iemand dus mijn laptop + telefoon jat (beroving oid) dan kan deze binnen 30 minuten al mijn geld van mijn rekening afhalen!

Waarom jatten? Criminelen* zijn slimmer dan je denkt, en zouden bijvoorbeeld dit kunnen doen:

1. Username achterhalen (dmv spieken of openen www.ing.nl als jij even op de wc zit en je pc niet locked).
2a. Wachtwoord aanvragen per sms, sms wissen. Je moet dan wel je telefoon onbeheerd achter hebben gelaten, dit zie ik vooral op kantoren heel veel gebeuren.
3. Weglopen en vanaf een rustige plek, op een andere pc, de boel overboeken.

Jij komt terug op je werkplek en ziet niets vreemds.Tot je weer een keer wil inloggen op je ING.nl omgeving

*)Indien het een vertrouwd iemand is (collega, buurman) laten de meeste mensen hun pc en mobiel stukken gemakkelijker onbeheerd achter...

maandag 25 januari 2010 22:11

Acties:

0 Henk 'm!

Rukapul

Ik vind het altijd wel leuk om een beetje te rekenen aan security. Neem bijvoorbeeld de kans op een succesvolle aanval:
oud: P_gebruikersnaam x P_wachtwoord x P_TAN
nieuw: P_gebruikersnaam x P_TAN

En stel:
P_gebruikersnaam = 0.1 (een semi-bekende die beetje moeite doet heeft vast wel 10% kans om achter de gebruikersnaam van iemand te komen)
P_wachtwoord = 0.001 (idem als hierboven die het wachtwoord weet te bemachtigen, waarschijnlijk via het installeren van een keylogger aangezien het postkantoor scenario te lage succeskans biedt, stel 0.1%)
P_TAN = 0.5 (idem, toegang tot GSM terwijl deze niet met PIN is afgeschermd)

oude situatie: 0.1 x 0.001 x 0.5 = 0.00005
nieuw situatie: 0.1 x 0.5 = 0.05
oftewel de kans van succes van een kwaadwillende semi-bekende gaat van 0.005% naar 5% een factor 1000 verschil. Dan is nog niet meegewogen dat een gelegenheidsaanvaller door het toevallig zien van de gebruikersnaam tot het idee kan komen om meteen maar even de GSM mee te pakken, terwijl hij voor het verkrijgen van het wachtwoord eventueel voorbereidingshandelingen moet plegen.

Gelukkig is er nog een factor die het enigszins reduceert: P_kwaadwillende_semi_bekende = 0.01 wat het op 0.00005% resp. 0.05% brengt.

Alle getallen natuurlijk puur losse vingerwerk.

maandag 25 januari 2010 22:13

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

Rukapul schreef op maandag 25 januari 2010 @ 21:24:
Ik zit erover te denken om mijn gedachten maar eens met ING te delen:

[...]

edit:
tekst aangepast m.b.t. wachtwoord afhalen op postkantoor

Vrijwel woord voor woord mijn oorspronkelijke bericht aan ING

(ok, da's wat overdreven, maar het lijkt er erg op). Ben benieuwd wat ze tegen jou zeggen...

"Any sufficiently advanced technology is indistinguishable from magic."

maandag 25 januari 2010 22:34

Acties:

0 Henk 'm!

RemcoDelft

Ik zie opeens een geheel nieuwe business voor Nigerianen!

Nummerbehoud is trouwens ook een leuke optie om het 06-nummer simpelweg over te nemen. Daar heb je over het algemeen niet veel voor nodig, de code achterop de SIMkaart (die ook op de verpakking etc. staat) is dan al genoeg.

maandag 25 januari 2010 22:41

Acties:

0 Henk 'm!

gertvdijk

alt-92 schreef op maandag 25 januari 2010 @ 20:42:
Waarom begin je dan over een wachtwoord?

Gefixt.

Ben het verder helemaal eens met Wolly. Harries i.p.v. beveiligingsexperts daar.

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

maandag 25 januari 2010 22:43

Acties:

0 Henk 'm!

Wilf

shuo cao cao

Ok, leuk... Dus je hebt net even lekker geïnternetbankierd op je smartphone, legt hem even weg, iemand grist hem weg, kijkt op je web browser waar de login van de ING nog staat met je naam nog gecached, stuurt een SMS, krijgt die binnen, logt in en maakt vrolijk geld over.

Dat maakt mobieltjes dus weer een stuk waardevoller om te stelen...

maandag 25 januari 2010 23:02

Acties:

0 Henk 'm!

Rukapul

Wilf schreef op maandag 25 januari 2010 @ 22:43:
Ok, leuk... Dus je hebt net even lekker geïnternetbankierd op je smartphone, legt hem even weg, iemand grist hem weg, kijkt op je web browser waar de login van de ING nog staat met je naam nog gecached, stuurt een SMS, krijgt die binnen, logt in en maakt vrolijk geld over.

Dat maakt mobieltjes dus weer een stuk waardevoller om te stelen...

Bedankt voor dit winnende scenario.

maandag 25 januari 2010 23:04

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Wilf schreef op maandag 25 januari 2010 @ 22:43:
Ok, leuk... Dus je hebt net even lekker geïnternetbankierd op je smartphone, legt hem even weg, iemand grist hem weg, kijkt op je web browser waar de login van de ING nog staat met je naam nog gecached, stuurt een SMS, krijgt die binnen, logt in en maakt vrolijk geld over.

Dat maakt mobieltjes dus weer een stuk waardevoller om te stelen...

De headers van de Cache-Control geeft aan: No-store + No-cache. Ook wordt autcomplete="off" op de input velden gezet, en daarnaast is het https protocol gebruikt.

Er zou onder geen enkel beding gecached mogen worden.

Jouw verhaal zou eventueel mogelijk kunnen zijn als je browser al compromised is.

Edit: De login in een cookie zetten, zoals de site biedt, blijft een verhoogd risico natuurlijk

[ Voor 6% gewijzigd door RaZ op 25-01-2010 23:06 ]

Ey!! Macarena \o/

maandag 25 januari 2010 23:14

Acties:

0 Henk 'm!

sewer

Dit gaat idd nergens over, je hebt een niet-gemaskeerd veld dat je ook nog in een cookie kan bewaren, en een gemaskeerd wachtwoordveld, en die eerste wordt belangrijker om geheim te houden dan die tweede

Ze moeten gewoon een systeem hebben waar je wat persoonlijke vragen moet beantwoorden, en die dan ook naar je mail-account sturen ipv mobieltje, zoals bijv. bij moneyou.

maandag 25 januari 2010 23:19

Acties:

0 Henk 'm!

Wilf

shuo cao cao

RaZ schreef op maandag 25 januari 2010 @ 23:04:
[...]
Er zou onder geen enkel beding gecached mogen worden.

Nou... Een gewaarschuwd mens telt voor twee... Op mijn iPhone onthoudt hij uit zichzelf de loginnaam voor ING, dus ik ga nu maar even mijn login veranderen en nooit meer op de iPhone internetbankieren...

maandag 25 januari 2010 23:26

Acties:

0 Henk 'm!

Rukapul

sewer schreef op maandag 25 januari 2010 @ 23:14:
Dit gaat idd nergens over, je hebt een niet-gemaskeerd veld dat je ook nog in een cookie kan bewaren, en een gemaskeerd wachtwoordveld, en die eerste wordt belangrijker om geheim te houden dan die tweede

Ze moeten gewoon een systeem hebben waar je wat persoonlijke vragen moet beantwoorden, en die dan ook naar je mail-account sturen ipv mobieltje, zoals bijv. bij moneyou.

Persoonlijke vragen zijn niet veilig, omdat de antwoorden veelal eenvoudig te achterhalen zijn. Ook zijn maatregelen niet zomaar van de ene dienst naar de andere over te nemen. De veiligheid van Moneyou berust bijvoorbeeld ook deels op het feit dat je alleen maar naar een vaste tegenrekening kunt overmaken.

Hierover is recent een interessant paper gepresenteerd: It's No Secret. Measuring the Security and Reliability of Authentication via "Secret” Questions (IEEE Symposium on Security and Privacy, 2009):

quote: http://research.microsoft.com/pubs/79594/oakland09.pdf
Abstract
All four of the most popular webmail providers –
AOL, Google, Microsoft, and Yahoo! – rely on personal
questions as the secondary authentication secrets used
to reset account passwords. The security of these
questions has received limited formal scrutiny, almost
all of which predates webmail. We ran a user study
to measure the reliability and security of the questions
used by all four webmail providers. We asked participants
to answer these questions and then asked their
acquaintances to guess their answers. Acquaintances
with whom participants reported being unwilling to
share their webmail passwords were able to guess
17% of their answers. Participants forgot 20% of their
own answers within six months. What’s more, 13%
of answers could be guessed within five attempts by
guessing the most popular answers of other participants,
though this weakness is partially attributable to
the geographic homogeneity of our participant pool.

[ Voor 43% gewijzigd door Rukapul op 25-01-2010 23:31 ]

maandag 25 januari 2010 23:45

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Wilf schreef op maandag 25 januari 2010 @ 23:19:
[...]

Nou... Een gewaarschuwd mens telt voor twee... Op mijn iPhone onthoudt hij uit zichzelf de loginnaam voor ING, dus ik ga nu maar even mijn login veranderen en nooit meer op de iPhone internetbankieren...

Firefox doet dit bij de ING niet, omdat de site dat verbiedt. Dus browsers mogen dat dus niet doen.

Firefox zegt hierover het volgende:

quote: http://support.mozilla.co...d+password+not+remembered
[..]
Websites prohibit password saving

Some websites do not allow for passwords to be saved for security reasons. If you have followed the steps above, but are still not prompted to save a password when logging into a certain website, that site may have disabled password saving.

Dat jouw iPhone schijt heeft aan wat de website hem verteld, tjah. Compromised browser in dit geval. Het zou dus niet mogen gebeuren.

Goed, dat wil natuurlijk nog niet zeggen dat dit niet de meest slimste zet is van de ING. Lijkt me zeker wel een artikel waard voor op de FP. Ben benieuwd wat de ING hier verder nog over te zeggen heeft, want ideaal is het niet echt.

Ey!! Macarena \o/

maandag 25 januari 2010 23:51

Acties:

0 Henk 'm!

Rukapul

@RaZ: wilf heeft het over de gebruikersnaam en niet het wachtwoord. Elders in het topic is daarover al terug te lezen dat ING de optie biedt deze te onthouden. Dat heeft dus niets te maken met passwordvelden of het al dan niet compliant zijn van browsers. Het gebruik van het woord compromised is in het geheel niet op z'n plaats hier.

dinsdag 26 januari 2010 00:00

Acties:

0 Henk 'm!

sewer

Rukapul schreef op maandag 25 januari 2010 @ 23:26:
Persoonlijke vragen zijn niet veilig, omdat de antwoorden veelal eenvoudig te achterhalen zijn. Ook zijn maatregelen niet zomaar van de ene dienst naar de andere over te nemen. De veiligheid van Moneyou berust bijvoorbeeld ook deels op het feit dat je alleen maar naar een vaste tegenrekening kunt overmaken.

Klopt, maar er is altijd een trade-off tussen veiligheid en bruikbaarheid.
Bij ING bepaalt de combinatie loginnaam + mobieltje voor veel gebruikers de veiligheid, terwijl de eerste erg makkelijk te raden is en de tweede erg makkelijk te stelen.

Bij moneyou heb je de combinatie gebruikersnummer (wat niet het rekeningnummer is), paar persoonlijke vragen + kennis van welk mailaccount erbij hoort + mail-wachtwoord nodig om hetzelfde te bereiken. Dat is iig al een stuk beter.

Bij moneyou heb je een redelijke kans om een nieuw wachtwoord te genereren en onderscheppen als je het slachtoffer kent, of als het slachtoffer veel informatie van zichzelf vrijgeeft op sociale sites. Indien je het slachtoffer niet kent, wordt het erg moeilijk.

Bij de postbank heb je een vrij goede kans als je het slachtoffer totaal niet kent, maar alleen het mobieltje uit de jas gevist hebt. Je probeert gewoon de naam die in de telefoon staat als gebruikersnaam van het ing-account.

[ Voor 21% gewijzigd door sewer op 26-01-2010 00:08 ]

dinsdag 26 januari 2010 00:16

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

Rukapul schreef op maandag 25 januari 2010 @ 23:51:
@RaZ: wilf heeft het over de gebruikersnaam en niet het wachtwoord.

D'oh, verkeerd gelezen. My bad.

Elders in het topic is daarover al terug te lezen dat ING de optie biedt deze te onthouden.

Had ik zelf ook al opgemerkt eerder in het topic

Dat heeft dus niets te maken met passwordvelden of het al dan niet compliant zijn van browsers. Het gebruik van het woord compromised is in het geheel niet op z'n plaats hier.

Ok, misschien is compromised wat overtrokken.

Stel dat de ING de optie tot het opslaan van de gebruikersnaam niet meeer zal gebruiken vanaf maart (gezien je de keuze krrijgt hoe je wil inloggen, zal er wel wat veranderen), blijft het op een iPhone dus onveilig.

Browsers die wel cachen terwijl dit expliciet wordt verteld dit niet te doen, is ook wel zorgwekkend.

Ey!! Macarena \o/

dinsdag 26 januari 2010 00:22

Acties:

0 Henk 'm!

gertvdijk

RaZ schreef op dinsdag 26 januari 2010 @ 00:16:
Stel dat de ING de optie tot het opslaan van de gebruikersnaam niet meeer zal gebruiken vanaf maart (gezien je de keuze krrijgt hoe je wil inloggen, zal er wel wat veranderen), blijft het op een iPhone dus onveilig.

Dat valt nog te bezien. Mogelijk dat dat ook verandert per maart. Bijvoorbeeld met een workaround zoals een wisselende id op het inputveld.

RaZ schreef op dinsdag 26 januari 2010 @ 00:16:
Browsers die wel cachen terwijl dit expliciet wordt verteld dit niet te doen, is ook wel zorgwekkend.

Dat is een probleem van de browser, niet van ING. Het enige wat ING dan kan doen is een bepaalde browser niet toestaan.

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

dinsdag 26 januari 2010 00:29

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

gertvdijk schreef op dinsdag 26 januari 2010 @ 00:22:
[...]

Dat valt nog te bezien. Mogelijk dat dat ook verandert per maart. Bijvoorbeeld met een workaround zoals een wisselende id op het inputveld.

Dat doen ze al:

HTML:

1	<input TYPE="text" style="font:11px arial" tabindex="1" autocomplete="off" name="oggnssiq" id="oggnssiq" size="20" maxlength=20 onFocus="this.select();" value="">

En na een refresh:

HTML:

1	<input TYPE="text" style="font:11px arial" tabindex="1" autocomplete="off" name="izukbheqjw" id="izukbheqjw" size="20" maxlength=20 onFocus="this.select();" value="">

[...]

Dat is een probleem van de browser, niet van ING. Het enige wat ING dan kan doen is een bepaalde browser niet toestaan.

True, dus een waardeloze browser.

Ey!! Macarena \o/

dinsdag 26 januari 2010 00:30

Acties:

0 Henk 'm!

crisp

Devver

Pixelated

RaZ schreef op dinsdag 26 januari 2010 @ 00:16:
[...]
Browsers die wel cachen terwijl dit expliciet wordt verteld dit niet te doen, is ook wel zorgwekkend.

Het hoeft niet eens een browser te zijn, het kan ook een proxyserver zijn die al-dan-niet bewust (no)cacheing-directives negeert. Daarbij lijken browservendors/implementors er op mobile ook wel eens andere 'regels' op na te houden.

Intentionally left blank

dinsdag 26 januari 2010 02:35

Acties:

0 Henk 'm!

gertvdijk

RaZ schreef op dinsdag 26 januari 2010 @ 02:16:
Oftewel, met enkel een telefoon met TAN per sms kan je NIET nieuwe codes aanvragen. Je hebt de pas er bij nodig.

Dude, ik weet dat het laat is, maar lees nou even de OP. Daar staat duidelijk in vermeld dat het niet gaat om wat er nu speelt, maar wat er gepland staat voor invoering per 15 maart 2010 bij Mijn ING.

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

dinsdag 26 januari 2010 09:12

Acties:

0 Henk 'm!

Herko_ter_Horst

Topicstarter

RaZ schreef op dinsdag 26 januari 2010 @ 02:16:
hmm...

We reutelen nu wel over de gebruikersnaam wel of niet opslaan enzo, een wat als je foon gejat wordt e.d.
[...]
Oftewel, met enkel een telefoon met TAN per sms kan je NIET nieuwe codes aanvragen. Je hebt de pas er bij nodig.

Ok, goed punt. Deze check helpt wel iets (aangenomen dat ze deze check ook na 15 maart intact houden, wat wel waarschijnlijk lijkt), maar nog altijd gaat het om gegevens die niet geheim zijn: pasnummer en rekeningnummer staan op elk PIN bonnetje en bovendien is het niet ondenkbaar dat de telefoon en de pas tegelijk gejat worden (zitten bij mij vaak allebei in m'n jas of tas, bijvoorbeeld).

Feit blijft, dat in de oude situatie het vrijwel onmogelijk was om een aanval uit te voeren, aangezien de nieuwe gegevens pas na een aantal dagen (waarin het account geblocked is) persoonlijk opgehaald konden worden. In de nieuwe situatie kan je binnen een half uur het account "op afstand" overnemen.

[ Voor 71% gewijzigd door Herko_ter_Horst op 26-01-2010 09:26 ]

"Any sufficiently advanced technology is indistinguishable from magic."

dinsdag 26 januari 2010 09:19

Acties:

0 Henk 'm!

Marzman

They'll never get caught.

Ik heb deze wijziging niet gezien, maar ik ben er ook niet heel blij mee dat iemand heel je account over kan nemen met alleen de telefoon. Al is dat niet helemaal waar, je loginnaam is niet 100% identiek aan je rekeningnummer dus de loginnaam is ook benodigd.

☻/ Please consider the environment before printing this signature
/▌
/ \ <-- This is bob. copy and paste him and he will soon take over the world.

dinsdag 26 januari 2010 10:55

Acties:

0 Henk 'm!

Rukapul

ING benadrukt het belang van veiligheid nog maar eens in de ontvangstbevestiging van het feedbackformulier:

Verstrek uw gebruikersnaam, wachtwoord en TAN-codes dus nooit aan anderen. Doet u dat toch, dan bent u zelf aansprakelijk voor de gevolgen van eventueel misbruik.

Niet onredelijk als ik dan vraag om een fatsoenlijk niveau van beveiliging

Ik kan me overigens wel voorstellen waarom ING dit wil. Het zal me namelijk niet verbazen als voor elk afgeleverd wachtwoord bij het postkantoor de totale kosten voor de wachtwoordreset oplopen tot een paar euro totaal.

In mindere mate heb ik er geloof in dat dit voortkomt uit een klantwens om bij een vergeten wachtwoord sneller over een vervangend wachtwoord te beschikken.

Er zijn ook best tussenwegen te verzinnen zoals het per post naar het huisadres verzenden van het wachtwoord. Dat is iets minder veilig, maar nog steeds zodanig out-of-band dat het een kwaadwillende redelijk frustreert. Zo zijn er nog wel meer vormen te bedenken die niet alle veiligheid af laten hangen van niet geheime informatie en toegang tot een GSM.

[ Voor 50% gewijzigd door Rukapul op 26-01-2010 11:07 ]

dinsdag 26 januari 2010 11:54

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

gertvdijk schreef op dinsdag 26 januari 2010 @ 02:35:
[...]

Dude, ik weet dat het laat is, maar lees nou even de OP. Daar staat duidelijk in vermeld dat het niet gaat om wat er nu speelt, maar wat er gepland staat voor invoering per 15 maart 2010 bij Mijn ING.

Juist. En als je hem zelf ook eens leest, zal je zien dat er niets staat over de check die gedaan wordt als je nieuwe codes wil aanvragen. De aankomende veranderingen staat los van de aanvraag methode.

Herko_ter_Horst schreef op dinsdag 26 januari 2010 @ 09:12:
[...]

Ok, goed punt. Deze check helpt wel iets (aangenomen dat ze deze check ook na 15 maart intact houden, wat wel waarschijnlijk lijkt), maar nog altijd gaat het om gegevens die niet geheim zijn: pasnummer en rekeningnummer staan op elk PIN bonnetje en bovendien is het niet ondenkbaar dat de telefoon en de pas tegelijk gejat worden (zitten bij mij vaak allebei in m'n jas of tas, bijvoorbeeld).

Tjah, Ik draag m'n telefoon en portomonee altijd op me. Nooit in een jas of tas. Zelfde als m'n sleutels.

Dus jouw situatie is anders dan die van mij. Bij vrouwen hoef je enkel de handtas te gappen, en je hebt echt alles.

Je moet het de crimineel natuurlijk niet makkelijker maken door je spullen onbeheerd in een jas of tas te laten zitten. En daarbij, als je GSM + Pas gejat wordt, hebben ze alsnog je geboorte-datum niet

Ik moet wel zeggen, dat ik m'n ziekenhuis ponsplaatje wel in m'n portomonee heb zitten waar m'n geboorte-datum wel op staat.

Overigens wordt je auto ook sneller gevonden als je centrale deur vergrendeling hebt met alarm als ze je sleutel hebben. Je hoeft maar langs auto's te lopen en je merkt het als er een auto reageert.

Feit blijft, dat in de oude situatie het vrijwel onmogelijk was om een aanval uit te voeren, aangezien de nieuwe gegevens pas na een aantal dagen (waarin het account geblocked is) persoonlijk opgehaald konden worden. In de nieuwe situatie kan je binnen een half uur het account "op afstand" overnemen.

Yup.

Ikzelf gebruik geen TAN per SMS, puur omdat ik gewoon thuis m'n bankzaken doe, en die lijst prima werkt. Maar dat is voor iedereen natuurlijk zelf om uit te maken. Als men deze nieuwe feature niet wenst, sta je natuurlijk vrij om weer terug te gaan naar het oude systeem.

Ey!! Macarena \o/

dinsdag 26 januari 2010 12:00

Acties:

0 Henk 'm!

Rukapul

RaZ schreef op dinsdag 26 januari 2010 @ 11:54:
Dus jouw situatie is anders dan die van mij.

Persoonlijke situaties kunnen hooguit de gekozen veiligheidsmaatregelen doen versterken (aannemende dat die situaies enigszins realistisch zijn), nooit overbodig verklaren.

Een systeem moet afdoende veiligheid bieden voor het brede publiek gegeven de kennis, vaardigheden en verwachtingspatroon van dat publiek.

En daarbij, als je GSM + Pas gejat wordt, hebben ze alsnog je geboorte-datum niet
Ik moet wel zeggen, dat ik m'n ziekenhuis ponsplaatje wel in m'n portomonee heb zitten waar m'n geboorte-datum wel op staat.

Een belangrijke functie zoals een passwordreset voor bankdiensten mag nooit in significante mate berusten op kennis van niet geheime (publieke) informatie. Het is eenvoudigweg niet veilig om legio redenen: te raden, op te zoeken, beschikbaarheid op andere plaatsen (pasjes, papieren, etc.), etc.

Als men deze nieuwe feature niet wenst, sta je natuurlijk vrij om weer terug te gaan naar het oude systeem.

Security is geen 'feature'. Het publiek kan die afweging niet (goed) maken. (Op dat laatste vlak komt de laatste tijd veel nieuwe research resultaten bovendrijven o.a. uit de hoek van behavioural security.)

Een systeem moet afdoende veiligheid bieden voor het brede publiek gegeven de kennis, vaardigheden en verwachtingspatroon van dat publiek.

[ Voor 7% gewijzigd door Rukapul op 26-01-2010 12:06 ]

dinsdag 26 januari 2010 12:00

Acties:

0 Henk 'm!

gertvdijk

RaZ schreef op dinsdag 26 januari 2010 @ 11:54:
Juist. En als je hem zelf ook eens leest, zal je zien dat er niets staat over de check die gedaan wordt als je nieuwe codes wil aanvragen. De aankomende veranderingen staat los van de aanvraag methode.

Dat denk ik niet. Er staat duidelijk dat het eenvoudiger wordt (zonder formulier te hoeven invullen - toch?) je nieuwe wachtwoord toegestuurd kan krijgen. Alleen wordt de huidige methode aangehouden (formulier) wanneer je van een TAN-lijst gebruik maakt, i.p.v. SMS.

Heel duidelijk is ING er niet over inderdaad wat je nou precies moet invullen, maar zoals ik het lees heb je na 15 maart alleen nog je 06 en gebruikersnaam nodig (en geen formulier meer waarin wordt gevraagd om geboortedatum, pasnummer e.d.). We zullen wel zien wat het wordt op 15 maart dan.

edit
Volgens het nieuwsbericht is het dus zo dat je alleen voor het aanvragen van een nieuwe gebruikersnaam een pasnummer en geboortedatum nodig hebt. Als je de gebruikersnaam al weet van iemand heb je dus alleen toegang tot zijn telefoon nodig (telefoon gappen/meekijken of GSM hack).
:
Nieuws: Klanten kwetsbaar door nieuwe beveiliging ING-internetbankieren

[ Voor 28% gewijzigd door gertvdijk op 26-01-2010 12:12 ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

dinsdag 26 januari 2010 12:32

Acties:

0 Henk 'm!

Joost

Zie ook: nieuws: Klanten kwetsbaar door nieuwe beveiliging ING-internetbankieren

Ik ben helemaal geen stagiair

dinsdag 26 januari 2010 12:33

Acties:

0 Henk 'm!

CLB

Staat 1 regel boven jouw post ook al GWX

Ik ben benieuwd wat de ING gaat doen, maak het maar groot, denk dat ze zo om zijn

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

dinsdag 26 januari 2010 12:39

Acties:

0 Henk 'm!

gertvdijk

CLB schreef op dinsdag 26 januari 2010 @ 12:33:
Staat 1 regel boven jouw post ook al GWX

Ach, geef hem ook wat credit voor zijn nieuwsitem als nieuwsposter.

CLB schreef op dinsdag 26 januari 2010 @ 12:33:
Ik ben benieuwd wat de ING gaat doen, maak het maar groot, denk dat ze zo om zijn

Ik denk het ook. Als dit wat meer media haalt is dit in no-time weer teruggedraaid of in andere vorm opnieuw aangekondigd. En dan vast ook nog onder hem mom van "we luisterden naar de klant".

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

dinsdag 26 januari 2010 13:16

Acties:

0 Henk 'm!

j0rDy

Als ik het dus goed begrijp (heb het even snel doorgelezen aangezien ik klant bij de ABN ben) dat er dus van twee authenticatiemethoden: something you have(mobiel), something you know(gebruikersnaam/ww) naar een gegaan wordt (something you have (mobiel/gebruikersnaam/ww). Misschien wel makkelijker maar totaal niet veiliger...door middel van een simpele social engineering trick kan dus dmv een gestolen mobieltje de gehele bankrekening geplundert worden...handig...voor criminelen weliswaar...

dinsdag 26 januari 2010 13:27

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

gertvdijk schreef op dinsdag 26 januari 2010 @ 12:00:
[...]

Dat denk ik niet. Er staat duidelijk dat het eenvoudiger wordt (zonder formulier te hoeven invullen - toch?) je nieuwe wachtwoord toegestuurd kan krijgen. Alleen wordt de huidige methode aangehouden (formulier) wanneer je van een TAN-lijst gebruik maakt, i.p.v. SMS.

Heel duidelijk is ING er niet over inderdaad wat je nou precies moet invullen, maar zoals ik het lees heb je na 15 maart alleen nog je 06 en gebruikersnaam nodig (en geen formulier meer waarin wordt gevraagd om geboortedatum, pasnummer e.d.). We zullen wel zien wat het wordt op 15 maart dan.

edit
Volgens het nieuwsbericht is het dus zo dat je alleen voor het aanvragen van een nieuwe gebruikersnaam een pasnummer en geboortedatum nodig hebt. Als je de gebruikersnaam al weet van iemand heb je dus alleen toegang tot zijn telefoon nodig (telefoon gappen/meekijken of GSM hack).
:
Nieuws: Klanten kwetsbaar door nieuwe beveiliging ING-internetbankieren

Zie hier het ING bericht: http://www.ing.nl/particu...-in-voorwaarden-mijn-ing/

Daar staat: Gebruikt u een TAN-lijst? Dan geldt de huidige werkwijze.

De gegevens die je nodig hebt om de aanvraag te doen, zijn, en blijven: rekening-nummer, pas-nummer, geldigheidsdatum & geboortedatum.

Daar verandert dus niets aan. Daar wordt namelijk nergens over gesproken.

Dat je daarna pas de keuze krijgt welke je wil resetten, login, password of beide, moet je toch eerst die 4 dingen ingevuld hebben.

Dat iemand dan al je login heeft, ach, zonder wachtwoord kom je er niet. En zonder de 4 bovenstaande dingen kan je simpelweg geen reset aanvragen.

Wat ik er uit opmaak is dat als je tan per sms hebt, het eenvoudiger wordt om te resetten, 30 minuten, ipv 5 werkdagen (ongeveer) bij het ophalen. Ze hebben het helemaal nergens over een verandering van het aanvraag-systeem.

Dus ik denk dat deze procedure die er nu is gewoon blijft als-is: https://mijn.ing.nl/inter...orisationLostCodesServlet

0uTsIdEr84 schreef op dinsdag 26 januari 2010 @ 13:16:
Als ik het dus goed begrijp (heb het even snel doorgelezen aangezien ik klant bij de ABN ben) dat er dus van twee authenticatiemethoden: something you have(mobiel), something you know(gebruikersnaam/ww) naar een gegaan wordt (something you have (mobiel/gebruikersnaam/ww). Misschien wel makkelijker maar totaal niet veiliger...door middel van een simpele social engineering trick kan dus dmv een gestolen mobieltje de gehele bankrekening geplundert worden...handig...voor criminelen weliswaar...

Bij de ING moet je ook 2 verificaties doen: 1 dmv inloggen, en de 2de een code invoeren aan de hand van een lijst met nummers (en als je wil, kunnen ze dat nummer ook naar je sms'en).

Waar het nu omgaat is dat je een reset kan aanvragen, en als je voor sms nummers hebt gekozen, je de login via de SMS op je GSM krijgt.

Dus met enkel alleen een mobiel van iemand die het per SMS heeft, kan je niets mee, omdat je bij een reset gegevens van de pas EN de gebruiker nodig hebt.

[ Voor 18% gewijzigd door RaZ op 26-01-2010 13:30 ]

Ey!! Macarena \o/

dinsdag 26 januari 2010 13:39

Acties:

0 Henk 'm!

Reptile209

- gers -

Vergeet overigens niet dat - in tegenstelling tot skimming - de dader een spoor achterlaat. Hij (zij?) moet het geld immers ergens naar overmaken en kan het niet direct contant in handen krijgen. Daarmee is het al makkelijker om de dader op te sporen. Of je krijgt combo's van overmaken naar de rekening waarvan je net een pasje gekopieerd hebt en het geld dan pinnen bij een camera-loze pinautomaat, maar dat lijkt me geen serieus scenario.

[ Voor 6% gewijzigd door Reptile209 op 26-01-2010 13:52 ]

Zo scherp als een voetbal!

dinsdag 26 januari 2010 13:45

Acties:

0 Henk 'm!

RemcoDelft

Rukapul schreef op dinsdag 26 januari 2010 @ 10:55:
Ik kan me overigens wel voorstellen waarom ING dit wil. Het zal me namelijk niet verbazen als voor elk afgeleverd wachtwoord bij het postkantoor de totale kosten voor de wachtwoordreset oplopen tot een paar euro totaal.

Dat is ook simpelweg op te lossen door een bedrag aan kosten in rekening te brengen, net zoals dat bij het kwijtraken van je SIMkaart of PINpas ook heel gebruikelijk is.

gertvdijk schreef op dinsdag 26 januari 2010 @ 12:00:
[...]
Nieuws: Klanten kwetsbaar door nieuwe beveiliging ING-internetbankieren

Ik vind de simpelweg ontkennende reactie van ING wel heel slecht:

ING-woordvoerster Monique Bouwmeester laat in een reactie weten dat de bank 'een goede afweging tussen klantvriendelijkheid en beveiliging wil maken'. Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens.

Nu kan het zijn dat deze "woordvoerster" totaal niets begrijpt van beveiliging, maar dan zou ze toch op z'n minst bij de achterban te rade moeten gaan. En na alle voorbeelden in dit topic, met de smartphone-internetbankieren-klant als absolute winnaar, is het wel heel slecht als ING het probleem blijft ontkennen!
Ik zie er wel een uitdaging in om 15 maart een cent van de rekening van Monique Bouwmeester te laten afboeken

^{Disclaimer: uiteraard doe ik dit niet, want dit mag niet.}

Reptile209 schreef op dinsdag 26 januari 2010 @ 13:39:
Vergeet overigens niet dat - in tegenstelling tot skimming - de dader een spoor achterlaat. Hij (zij?) moet het geld immers ergens naar overmaken en kan het niet direct contant in handen krijgen. Daarmee is het al makkelijker om de dader op te sporen. Of je krijgt combo's van overmaken naar de rekening waarvan je net een pasje gekopieerd hebt en het geld dan pinnen bij een camera-loze pinautomaat, maar dat lijkt me geen serieus scenario.

Nigeriaanse oplichters laten precies zo'n spoor achter. Maar wat wil je doen, als je weet dat de -999 roodstand en lege spaarrekeningen verdwenen zijn naar een bank in het buitenland?

[ Voor 71% gewijzigd door RemcoDelft op 26-01-2010 13:54 ]

dinsdag 26 januari 2010 13:52

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

Mja, ik ben hier helemaal niet blij mee.

In de huidige situatie wordt je meteen gealarmeerd als je rekening gekraakt zou zijn en mensen proberen geld over te maken (sms), of als je een man-in-the-middle attack zou hebben die 'stiekem' extra opdrachten toevoegd omdat het bedrag niet meer klop in je sms (ja, zou het bedrag hetzelfde kunnen laten en rekening veranderen, maar het helpt i.i.g.).

Straks ben je gewoon de lul als je tas/jas gejat wordt. Meeste mensen hebben wel legitimatie (zou moeten) / verzekeringsplaatje / lidmaatschaps iets in z'n portemonnee. Tasjesdieven hebben ineens veel meer mogelijkheden. En ja, het kan getraceerd worden, maar wat heb je eraan als het net naar verweggistan is overgeboekt?

Al zouden ze het een opt-in systeem maken zou ik er veel minder moeite mee hebben.

Als dit werkelijk op deze manier doorgaat, denk ik dat ik maar een tan lijst aanvraag.

[ Voor 16% gewijzigd door J2pc op 26-01-2010 13:56 . Reden: typo's :X ]

"The computer is incredibly fast, accurate, and stupid. Man is unbelievably slow, inaccurate, and brilliant. The marriage of the two is a challenge and opportunity beyond imagination." © Stuart G. Walesh

dinsdag 26 januari 2010 13:55

Acties:

0 Henk 'm!

ronh

Ik vind het allemaal erg opgeblazen.
Ook ik had pasgeleden dat ik mijn wachtwoord 3x verkeerd had ingevoerd.
Ik blijf overigens nog van mening dat ik het juist had ingevoerd, zelfs in de bovenste regel ingevoerd, om het cleartext te zien (thuis ja, zonder pottenkijkers

)

Ennieweej: Ik stond net op het punt om geld over te maken voor kaarten (F1 Duitsland), en dan sta je: Je kunt niks meer

Vervolgens bellen, en kom je erachter dat je 5 werkdagen kunt wachten.
Ja lekker, dat gebeurde dus op vrijdagavond.

Dus als het wordt als hierboven beschreven, ben ik er gelukkig mee.
(Dus wel controlevragen voor versturen van de SMS)

Wellicht dat ik wel over ga naar de papieren TAN lijst, dan heb je toch weer de "oude" beveiliging.

[ Voor 7% gewijzigd door ronh op 26-01-2010 13:57 ]

dinsdag 26 januari 2010 13:57

Acties:

0 Henk 'm!

gertvdijk

RaZ schreef op dinsdag 26 januari 2010 @ 13:27:
De gegevens die je nodig hebt om de aanvraag te doen, zijn, en blijven: rekening-nummer, pas-nummer, geldigheidsdatum & geboortedatum.

Daar verandert dus niets aan. Daar wordt namelijk nergens over gesproken.

Ondanks dat ik het nog steeds op een andere manier dan jou lees blijft het ook in jouw uitleg een flnk gat. Zowel rekeningnummer, pasnummer, geldigheidsdatum en geboortedatum zijn dingen die je kan stelen zonder dat iemand het doorheeft. Bij andere banken wordt er gebruik gemaakt van de chip op de pas (black box, challange/response) waarbij je dus daadwerkelijk de pas (fysiek) én pincode moet hebben, in tegenstelling tot een fotootje van of een blik op je pas.

RaZ schreef op dinsdag 26 januari 2010 @ 13:27:
Dus met enkel alleen een mobiel van iemand die het per SMS heeft, kan je niets mee, omdat je bij een reset gegevens van de pas EN de gebruiker nodig hebt.

Gegevens van de pas zijn geen geheimen ofzo. Ze zijn gewoon af te lezen van je pas als je hem op tafel hebt liggen en iemand kan er ook gewoon ongemerkt een foto van maken. Daarnaast vind je een rekeningnummer en pasnummer gewoon op een bonnetje terug.
Voor de gebruikersnaam geldt hetzelfde; niet geheim (wel volgens voorwaarden, ok) en ook die is gewoon te resetten.

[ Voor 3% gewijzigd door gertvdijk op 26-01-2010 14:00 ]

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

dinsdag 26 januari 2010 13:59

Acties:

0 Henk 'm!

Anoniem: 49726

Ik heb zojuist een telefonische klacht ingediend over de komende wijzigingen. De helpdesk medewerker beloofde mijn klacht door te sturen naar de juiste afdeling. Verder meldde hij dat hij nog geen cursus over de komende veranderingen in de voorwaarden heeft gehad, en hoopte dat die binnenkort zou komen.
Na afloop van het gesprek heb ik de indruk dat er serieus naar mijn klacht gekeken gaat worden.

dinsdag 26 januari 2010 14:00

Acties:

0 Henk 'm!

leuk_he

1. Controleer de kabel!

GWX schreef op dinsdag 26 januari 2010 @ 12:32:
Zie ook: nieuws: Klanten kwetsbaar door nieuwe beveiliging ING-internetbankieren

Nu.nl, dus nog nu beter zichtbaar:

Kritiek op simpeler beveiliging ING

(En volgens mij nemen meer nieuws sites nu.nl over.)

[ Voor 5% gewijzigd door leuk_he op 26-01-2010 14:01 ]

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 26 januari 2010 14:02

Acties:

0 Henk 'm!

Scorpinus

Rukapul schreef op maandag 25 januari 2010 @ 21:24:
Ik zit erover te denken om mijn gedachten maar eens met ING te delen:

[...]

Ik heb je goed geschreven stukje ook gebruikt.

@Mijn ING contact formulier:
Bedankt voor uw e-mail
U ontvangt binnen enkele minuten een ontvangstbevestiging per e-mail.

Who is General Failure and why is he reading my disk?

dinsdag 26 januari 2010 14:07

Acties:

0 Henk 'm!

mcDavid

Weet iemand een e-mail adres waar ik een klacht naartoe kan sturen?

Als Linux-gebruiker mag ik namelijk geen gebruik maken van het mailformulier op de ING-website!

Pagina wordt niet geladen
De pagina kan helaas niet binnen deze browser worden getoond. De ING adviseert u om een andere browser te gebruiken. Bekijk de aanbevolen configuraties.

dinsdag 26 januari 2010 14:12

Acties:

0 Henk 'm!

Brons

Fail!

Tijd om maar weer da papieren tan-lijst aan te vragen. Tenminste: ik neem aan dat dit kan. Ik snap niet waarom een bank als ING een aantal jaar terug in de tijd wil qua beveiliging. Ik zou deze verandering kunnen accepteren als ING aansprakelijk zou zijn voor verloren geld, maar dat zijn ze natuurlijk niet.

dinsdag 26 januari 2010 14:14

Acties:

0 Henk 'm!

RaZ

Funky Cold Medina

gertvdijk schreef op dinsdag 26 januari 2010 @ 13:57:
[...]

Ik heb ook nergens beweerd dat het niet mogelijk is. Ik heb enkel gezegd dat het niet zo makkelijk gaat als de op de eerste paar pagina's werd geschetst (ook door mij zelf trouwens).

Op een bonnetje staat dan wel de rekening-nummer en het pas-nummer, maar geen geldigheids datum en geboortedatum. Je geboortedatum is het enige wat ontbreekt op de ING-pas.

Als ik naar de inhoud van m'n portomonee kijk, zit daar dus in: 1 ING-pas, met daarop 3 van de 4 antwoorden voor de reset-aanvraag. Daarnaast heb ik ook nog eens een BHV-pas en een ponsplaatje waar dan wel weer m'n geboorte-datum op staat. En dat maakt wel het plaatje compleet.

Dus ja, iemand met TAN per SMS waarbij z'n telefoon + portomonee wordt gejat, kan flink de dupe zijn. In mijn geval krijg ik een afhaalbericht. Tevens kan ik dan zo'n 5 werkdagen niet meer bankieren.

Ey!! Macarena \o/

dinsdag 26 januari 2010 14:18

Acties:

0 Henk 'm!

CLB

RaZ schreef op dinsdag 26 januari 2010 @ 14:14:
Tevens kan ik dan zo'n 5 werkdagen niet meer internetbankieren.

Dat is iets anders

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

dinsdag 26 januari 2010 14:19

Acties:

0 Henk 'm!

DNA_Saint

Go Go Gadget Ondertitel!

Het enge is dat gebruikersnaam en wachtwoord kunnen worden opgevraagd.

Waarom gebeurd het dan niet via het web ofzo? Er moet vast wel een goede oplossing zijn, dat veilig is om via een website je wachtwoord op te vragen?

Huub Huub Barbatruc!

dinsdag 26 januari 2010 14:28

Acties:

0 Henk 'm!

RemcoDelft

ronh schreef op dinsdag 26 januari 2010 @ 13:55:
Wellicht dat ik wel over ga naar de papieren TAN lijst, dan heb je toch weer de "oude" beveiliging.

En daar maak je je hele verhaal over 5 dagen wachten weer ongedaan, want in dit geval moet je gewoon weer wachten op je nieuwe wachtwoord...

Het feit dat je inlognaam "geheim" moet worden vind ik helemaal vreemd, dit is bij mij m'n gironummer gevolgd door 3 letters. Als ik die geheim moet houden, verklap ik het grootste deel al door iemand m'n rekeningnummer te geven

mcDavid schreef op dinsdag 26 januari 2010 @ 14:07:
Weet iemand een e-mail adres waar ik een klacht naartoe kan sturen?

Als Linux-gebruiker mag ik namelijk geen gebruik maken van het mailformulier op de ING-website!
[...]

Mijn Giro-enveloppen gaan nog steeds naar:
Postbank N.V.
Antwoordnummer 40000
6800 XP Arnhem

Voeg dan meteen je klacht toe dat het formulier niet werkt onder Tux

* PC: Windows XP Service Pack 3 of Vista + Internet Exporer 7
* Mac: MacOS 10.5 + Firefox 3

Wel superslecht dat een HTML-formuliertje niet browser-onafhankelijk gemaakt kan worden

dinsdag 26 januari 2010 14:41

Acties:

0 Henk 'm!

Rannasha

Does not compute.

Heb het stukje van Rukapul ook maar even in het vragen/klachten formulier gestopt. Ging probleemloos met Ubuntu 8.10 & FF 3.5

|| Vierkant voor Wiskunde ||

dinsdag 26 januari 2010 14:41

Acties:

0 Henk 'm!

iisschots

Ik heb de ING even gebeld. Had geen zin een mail te sturen

Daar aangegeven dat ik niet echt blij ben dat wanneer mijn telefoon en portomonee gestolen word, dat met het nieuwe beleid ook mijn rekening kunnen plunderen. En dat ik wanneer het beleid doorgaat dan wil weten of ik over kan stappen op de papieren tancodes.

Die persoon was hier zelf ook heel verbaast over dat het zo zou kunnen gebeuren, hij had er nog niet zo na gekeken. Hij gaat nu uitzoeken of er nog andere veiligheden bijzitten en dit intern aankaarten. Over de resultaten word ik donderdagochten teruggebeld.

Ik ben beniewd, merkte aan hem dat hij er zelf ook niet echt blij mee was

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

dinsdag 26 januari 2010 14:42

Acties:

0 Henk 'm!

Eärendil

Ik vroeg me af wat er nu precies in de voorwaarden is veranderd, dus ik heb de huidige voorwaarden (november 2009) vergeleken met de nieuwe voorwaarden:

--- voorwaarden-ing-november-2009.txt 2010-01-26 14:33:26.000000000 +0100
+++ voorwaarden-ing-maart-2010.txt 2010-01-26 14:33:41.000000000 +0100
@@ -62,17 +62,18 @@
17 Gebruikersnaam en wachtwoord wijzigen
17.1 Als u Mijn ING voor het eerst gebruikt, logt u in met de gebruikersnaam en het wachtwoord die u van de ING heeft ontvangen.
U moet uw wachtwoord direct wijzigen in een zelfgekozen wachtwoord.
+Ook na een heraanvraag moet u direct uw wachtwoord wijzigen.

-17.2 U kunt een nieuwe gebruikersnaam en wachtwoord aanvragen ter vervanging van de oude gebruikersnaam en wachtwoord.
-Ook mag de ING u een nieuwe gebruikersnaam en wachtwoord verstrekken.
-In beide gevallen wordt de verzending van TAN-codes geblokkeerd en een activerings- code aan u verstrekt.
-U moet de activeringscode eenmalig gebruiken om de TAN-codes opnieuw te activeren.
+17.2 Op ING.nl kunt u uw gebruikersnaam en een nieuw wachtwoord aanvragen.
+Ook mag de ING u een nieuwe gebruikersnaam en wachtwoord verstrekken.
18 TAN-codes
18.1 U kunt een TAN-code ontvangen via een sms-bericht. Of u kunt een lijst met TAN-codes per post ontvangen.
18.2 U kunt de TAN-codes per sms-bericht alleen ontvangen op een Nederlands mobiel nummer. Behalve als u een post- adres heeft in het buitenland: dan kunt u de sms-berichten ook ontvangen op een buitenlands mobiel nummer.
18.3 Een TAN-code vervalt nadat deze is gebruikt.
18.4 De TAN-codes vervallen ook als de TAN-functie wordt geblokkeerd.
-18.5 Als u uw TAN-lijst niet heeft ontvangen, dan moet u dit direct melden.
+18.5 Als uw TAN-functie is geblokkeerd ontvangt u een activeringscode.
+U moet de activeringscode eenmalig gebruiken om de TAN-codes opnieuw te activeren.
+18.6 Als u uw TAN-lijst niet heeft ontvangen, dan moet u dit direct melden.
Doet u dit niet, dan kunnen wij u aansprakelijk stellen voor de gevolgen van misbruik van de TAN-codes.
Informatie over hoe u dit moet melden aan de ING vindt u op ING.nl.
Betaalopdrachten geven
@@ -155,7 +156,7 @@
Werkdag
Een dag waarop de ING betaalopdrachten uitvoert. Niet alle dagen waarop een ING-kantoor of postkantoor open is, zijn een werkdag. De zaterdag en de zondag zijn in ieder geval geen werkdag. Meer informatie over werkdagen vindt u op ING.nl.
ING Bank N.V. (hierna: de ING) is een van de grootste aanbieders van financiële diensten en producten in Nederland. Klanten kunnen bij de ING terecht voor financiële producten op het gebied van betalen, sparen, lenen, hypotheken en beleggen. Daarnaast bemiddelt de ING in verzekeringen en pensioenen.
-Deze Voorwaarden zijn geldig vanaf 1 november 2009.
+Deze Voorwaarden zijn geldig vanaf 14 maart 2010.
De informatie uit deze Voorwaarden kan wijzigen. Dit geldt ook voor tarieven en rentepercentages. Kijk voor actuele informatie op ING.nl of bel 0900 0933 (10 cent per minuut).
De ING is statutair gevestigd aan Bijlmerplein 888, 1102 MG in Amsterdam, handelsregister nr. 33031431 in Amsterdam.
De ING is geregistreerd bij de Nederlandsche Bank (DNB) en de Autoriteit Financiële Markten (AFM) in het Register Kredietinstellingen en Financiële Instellingen.

(groen is nieuw, en rood is oud)

dinsdag 26 januari 2010 14:49

Acties:

0 Henk 'm!

Liegebeest

Wilf schreef op maandag 25 januari 2010 @ 22:43:
Ok, leuk... Dus je hebt net even lekker geïnternetbankierd op je smartphone, legt hem even weg, iemand grist hem weg, kijkt op je web browser waar de login van de ING nog staat met je naam nog gecached, stuurt een SMS, krijgt die binnen, logt in en maakt vrolijk geld over.

Dat maakt mobieltjes dus weer een stuk waardevoller om te stelen...

Waarom weggrissen als je het ook met SSH kan doen als zo'n gejailbreakte iPhone SSH aan heeft staan met het default root password. Nog geen drie maanden geleden is bewezen dat die iPhones er in ruime mate zijn.

Liege, liege, liegebeest!

dinsdag 26 januari 2010 14:51

Acties:

0 Henk 'm!

leploep

Ik heb ook het klachtenformulier op de site ingevuld en ga mn salaris op de Rabo laten storten als het op deze manier doorgevoerd wordt.

dinsdag 26 januari 2010 14:59

Acties:

0 Henk 'm!

Woy

Moderator Devschuur®

iisschots schreef op dinsdag 26 januari 2010 @ 14:41:
Ik heb de ING even gebeld. Had geen zin een mail te sturen

Daar aangegeven dat ik niet echt blij ben dat wanneer mijn telefoon en portomonee gestolen word, dat met het nieuwe beleid ook mijn rekening kunnen plunderen. En dat ik wanneer het beleid doorgaat dan wil weten of ik over kan stappen op de papieren tancodes.

Die persoon was hier zelf ook heel verbaast over dat het zo zou kunnen gebeuren, hij had er nog niet zo na gekeken. Hij gaat nu uitzoeken of er nog andere veiligheden bijzitten en dit intern aankaarten. Over de resultaten word ik donderdagochten teruggebeld.

Ik ben beniewd, merkte aan hem dat hij er zelf ook niet echt blij mee was

Ik heb net ook even gebeld. De persoon gaf aan dat er bij hun in de gegevens stond dat ze het nog niet naar buiten mogen communiceren, dus dat ze nogal verbaasd was dat het wel gewoon op de site stond.

Ze kon nog niet aangeven of het mogelijk was om deze optie uit te zetten, maar kon wel aangeven dat het in ieder geval niet mogelijk is om terug te stappen op papieren TAN codes.

Ik kon ook wel merken dat ze er niet zo heel blij mee was, want toen ik de opmerking plaatste dat alleen het opzeggen van mijn rekening een oplossing was, zolang er geen manier is om dit uit te zetten, reageerde ze met tegenzin wel instemmend.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 26 januari 2010 15:04

Acties:

0 Henk 'm!

Stevendefeij

mcDavid schreef op dinsdag 26 januari 2010 @ 14:07:
Weet iemand een e-mail adres waar ik een klacht naartoe kan sturen?

Als Linux-gebruiker mag ik namelijk geen gebruik maken van het mailformulier op de ING-website!

[...]

Dude jij doet echt wat fout, ik heb namelijk net onder linux dat formulier gewoon ingevuld en gebruikt.
Welke distro draai je?

In firefox 3.5.6 werkt het in elk geval zelfs onder 64 varianten.

Onder Gentoo x64 doetie het prima.

Maar even wat anders dit is lekker voor je veiligheid op straat een beroving van een ING klant heeft straks extra voordelen, krijgt er gelijk zijn hele rekeningsaldo en maximale roodstand bij.

[ Voor 26% gewijzigd door Stevendefeij op 26-01-2010 15:14 ]

Greetings by de force under Linux and one realy powerfull 386 SX 4 MB RAM

dinsdag 26 januari 2010 15:05

Acties:

0 Henk 'm!

Rukapul

http://security.nl/artike...internetbankieren%22.html

Gepubliceerd binnen anderhalfuur na het bericht van Tweakers. Je zou toch denken dat de tamtam werkt

Nu.nl idem.

dinsdag 26 januari 2010 15:10

Acties:

0 Henk 'm!

RemcoDelft

Woy schreef op dinsdag 26 januari 2010 @ 14:59:
[...]

Ik heb net ook even gebeld. De persoon gaf aan dat er bij hun in de gegevens stond dat ze het nog niet naar buiten mogen communiceren, dus dat ze nogal verbaasd was dat het wel gewoon op de site stond.

Vreemd. Want wijzigingen in voorwaarden moeten ruim vantevoren worden aangekondigd. Dus ze kunnen niet anders dan het vooraf naar buiten communiceren...

Stevendefeij schreef op dinsdag 26 januari 2010 @ 15:04:
[...]
Dude jij doet echt wat fout, ik heb namelijk net onder linux dat formulier gewoon ingevuld en gebruikt.
Welke distro draai je?

In firefox 3.5.6 werkt het in elk geval zelfs onder 64 varianten.

Onder 64 bit Ubuntu 9.10 met FF 3.5.7 werkt het niet.

[ Voor 28% gewijzigd door RemcoDelft op 26-01-2010 15:11 ]

dinsdag 26 januari 2010 15:13

Acties:

0 Henk 'm!

Woy

Moderator Devschuur®

RemcoDelft schreef op dinsdag 26 januari 2010 @ 15:10:
[...]

Vreemd. Want wijzigingen in voorwaarden moeten ruim vantevoren worden aangekondigd. Dus ze kunnen niet anders dan het vooraf naar buiten communiceren...

Inderdaad nogal vreemd, maar verder ontkende ze het ook niet. Ze gaf alleen aan dat ze verbaasd was dat het gewoon op de site stond, aangezien haar informatie aangaf dat het nog niet gecommuniceerd mag worden. Ik kan me niet echt een reden bedenken waarom ze daar over zou liegen.

Heb ik een klacht gestuurd naar ING, krijg je dit standaard mailtje terug

Geachte heer, mevrouw,

Hartelijk dank voor uw e-mail naar de ING. U krijgt binnen twee werkdag een reactie.

En daarna

Ga voorzichtig om met uw persoonlijke gegevens!

[ Voor 20% gewijzigd door Woy op 26-01-2010 15:20 ]

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 26 januari 2010 15:29

Acties:

0 Henk 'm!

mcDavid

Stevendefeij schreef op dinsdag 26 januari 2010 @ 15:04:
[...]

Dude jij doet echt wat fout, ik heb namelijk net onder linux dat formulier gewoon ingevuld en gebruikt.
Welke distro draai je?

Ubuntu Karmic x86, met zowel Fx 3.5.7 als Chrome 4.0.249.43 als Opera 10.10

dinsdag 26 januari 2010 15:36

Acties:

0 Henk 'm!

Liegebeest

RemcoDelft schreef op dinsdag 26 januari 2010 @ 15:10:
[...]

Vreemd. Want wijzigingen in voorwaarden moeten ruim vantevoren worden aangekondigd. Dus ze kunnen niet anders dan het vooraf naar buiten communiceren..

Het stond dan ook al ruim een week aangegeven na het inloggen op MijnING. Kleine lettertjes, dat wel...

Liege, liege, liegebeest!

Onderwerpen