[Risico] Aanpassing wachtwoord-retrieval MijnING.nl

compleet idiote maatregel dit,

mobiel internet en de overvaller kan om de hoek je bank leegroven.
Lekker dan!

Heb meteen maar even een klacht ingeschoten bij ing

Heb ook een klachten formulier ingediend.

Ben benieuwd hoe lang ING dit vol gaat houden, anders maar eens kassa / radar hierop attenderen?

Iets minder sensatiezuchtig mogen sommigen hier ook wel weer reageren hoor.*
De gemiddelde klant wil gebruiksgemak en loopt regelmatig te klagen over die 5 werkdagen procedure.

Als het userfriendly en secure moet dan wordt het duurder in gebruik, als het userfriendly en goedkoop moet dan is het niet secure.


* dat wil niet zeggen dat ik me kan vinden in deze wijziging - hell, ik ben niet eens klant dus het raakt me niet eens. Ik vind het ook niet verstandig, deze actie.

Maar een beetje boter op het hoofd verhaal is het wel.

[ Voor 26% gewijzigd door alt-92 op 26-01-2010 16:03 ]

Het probleem is voornamelijk dat de procedure 5 dagen moet duren en dat er nauwelijks nog postkantoren (geen agentschappen) zijn (en als ze er zijn, dat ze dan op fatsoenlijke tijdstippen open zijn).

Er zijn vele andere mogelijke oplossingen.
- Er is helemaal geen noodzaak om 5 dagen te wachten. IT technisch gezien kan bij het aanvragen van een nieuw binnen een seconde een printje op elke willekeurige plek in Nederland uit een printer rollen.
-Via de post of met koerier kan binnen een wachtwoord binnen 1 of twee dagen aan huis afgeleverd worden.

De oplossing die ze nu kiezen is flawed by design. *insert meerdere stromen verhaaltje*


Ik heb iig het klachten formulier ingevuld bij de ING:

----

Met grote verbazing en huivering heb ik kennis genomen van de
aankomende veranderingen in de werkwijze van het internetbankieren.

Door deze wijziging wordt ik genoodzaakt mijn bankpas,
identiteitsbewijs (ik ben verplicht deze bij mij te hebben in
Nederland) en telefoon compleet apart te bewaren zodat ze nooit
tegelijk ontvreemd kunnen worden. Mijn rijbewijs en bankpas kunnen dus
niet meer in dezelfde portemonnee en mijn vrouw kan daarnaast haar
portemonnee en telefoon niet meer in dezelfde handtas stoppen. Ook zal
ik bij de sportvereniging, sauna of in het zwembad meerdere kluisjes
moeten huren om niet het risico te lopen dat onbevoegden bij het
openbreken van het kluisje in 1 keer over alle benodigde informatie
kunnen beschikken om mijn rekening te plunderen:

- rekeningnummer + pasnummer van de pas
- naam + geboortedatum van mijn rijbewijs
- mijn mobieltje om gebruikersnaam, wachtwoord en TAN-code te achterhalen

Bij een middag sauna kan het best enkele uren duren voordat ik de
vermissing opmerk.

Graag wil ik een mogelijkheid om het versturen van een inlognaam +
wachtwoord via SMS uit te zetten. Als dit niet gebeurt zie ik geen
andere uitweg dan over te stappen naar een andere bank die de
grondbeginselen op het gebied van security wel hoog in het vaandel
heeft staan.

mvg

Janoz' echte naam
----------------------

Een ieder die zo snel even niet weet hoe hij zijn klacht onder woorden moet brengen mag bovenstaand stukje overnemen .

alt-92 schreef op dinsdag 26 januari 2010 @ 16:00:
Iets minder sensatiezuchtig mogen sommigen hier ook wel weer reageren hoor.*
De gemiddelde klant wil gebruiksgemak en loopt regelmatig te klagen over die 5 werkdagen procedure.

Als het userfriendly en secure moet dan wordt het duurder in gebruik, als het userfriendly en goedkoop moet dan is het niet secure.


* dat wil niet zeggen dat ik me kan vinden in deze wijziging - hell, ik ben niet eens klant dus het raakt me niet eens. Ik vind het ook niet verstandig, deze actie.

Maar een beetje boter op het hoofd verhaal is het wel.

Wil je nu zeggen dat ik, oprecht bezorgde klant van de ING, 'sensatiezuchtig' ben en 'boter op het hoofd' heb omdat ik me druk maak over de veiligheid van mijn geld?

Ik heb geen probleem met de 5 dagen wachttijd. Liever dat (en enventueel een giro envelop als het dringend is), dan dat je na een roofoverval ook je bankrekening + spaarrekeningen geplunderd ziet.

Sensatiezuchtig? Dit publiek maken is volgens mij de enige manier om zo'n gigant te laten veranderen.
Hopelijk keert nu de wal het schip, als losse consument wordt je gewoon 'overvaren'.

/edit
met hem VV

alt-92 schreef op dinsdag 26 januari 2010 @ 16:00:
De gemiddelde klant

... kan de afweging tussen gebruiksvriendelijkheid en risico's behorend bij beveiliging niet maken.

Sterker nog, het is in de aard van mensen (gedragsbias) om korte termijn voordelen (gemak) prioriteit te geven ten over toekomstige (vaak onbekende) risico's. Hier is voldoende literatuur over beschikbaar.

Het is aan de bank om een afgewogen set aan maatregelen te treffen. Deze verantwoordelijkheid kan niet teruggelegd worden bij de klant.

Er zijn trouwens legio alternatieven mogelijk. Helaas kiest men uitgerekend eentje die behoorlijk beroerd scoort

[ Voor 12% gewijzigd door Rukapul op 26-01-2010 16:14 ]

Rukapul schreef op dinsdag 26 januari 2010 @ 16:11:

Het is aan de bank om een afgewogen set aan maatregelen te treffen. Deze verantwoordelijkheid kan niet teruggelegd worden bij de klant.

Waarom zou dat niet kunnen?
Sterker nog, eigenlijk is dit een blessing in disguise, omdat je nu als interneppen-bankierende thuisgebruikert eindelijk eens met je neus op de feiten wordt gedrukt dat gebruiksgemak en veiligheid allebei een prijs hebben.

En als mondige consument van tegenwoordig vind ik persoonlijk dat je ook zelf je verantwoordelijkheden hoort te nemen.
Als ik op hoge poten aankom bij $dienstverlener I'd better be sure to have my story straight.

alt-92 schreef op dinsdag 26 januari 2010 @ 16:15:
[...]

Waarom zou dat niet kunnen?
Sterker nog, eigenlijk is dit een blessing in disguise, omdat je nu als interneppen-bankierende thuisgebruikert eindelijk eens met je neus op de feiten wordt gedrukt dat gebruiksgemak en veiligheid allebei een prijs hebben.

En als mondige consument van tegenwoordig vind ik persoonlijk dat je ook zelf je verantwoordelijkheden hoort te nemen.
Als ik op hoge poten aankom bij $dienstverlener I'd better be sure to have my story straight.

Omdat de norm is dat Internetbankieren voor de gemiddelde niet geinformeerde consument (en dus niet: mondige zeer goed geinformeerde consument) veilig moet zijn.
Het is dus aan de aanbieder om dat op een zo gebruiksvriendelijke methode aan te bieden.

Uiteraard mogen dingen hun prijs hebben. Dat is een vrijheidsgraad die de aanbieder heeft. Voor wat betreft de veiligheid is zijn vrijheidsgraad echter beperkt tot de hierboven genoemde norm.

alt-92 schreef op dinsdag 26 januari 2010 @ 16:15:
[...]

Waarom zou dat niet kunnen?
Sterker nog, eigenlijk is dit een blessing in disguise, omdat je nu als interneppen-bankierende thuisgebruikert eindelijk eens met je neus op de feiten wordt gedrukt dat gebruiksgemak en veiligheid allebei een prijs hebben.

En als mondige consument van tegenwoordig vind ik persoonlijk dat je ook zelf je verantwoordelijkheden hoort te nemen.
Als ik op hoge poten aankom bij $dienstverlener I'd better be sure to have my story straight.

Als bankklant had je redelijk zelf in de hand hoe goed je je gegevens beschermt (wachtwoord niet noteren, pincode afschermen etc.) en hoe moeilijk je het jezelf maakt.
Vanwege het gemak van gemiddelde klanten ontstaat er nu een gat waartegen je jezelf veel moeilijker kunt beschermen omdat het nu genoeg is klant van ING te zijn. Alleen als je je pas, identiteitsbewijs en telefoon altijd gescheiden houdt heb je nog wat invloed.
Al is het alleen maar theoretisch, ik vind dit genoeg om er niet al te gemakkelijk mee om te gaan en nog wat basisprincipes van beveiling in stand te houden.

xtra schreef op dinsdag 26 januari 2010 @ 16:32:

Vanwege het gemak van gemiddelde klanten ontstaat er nu een gat waartegen je jezelf veel moeilijker kunt beschermen omdat het nu genoeg is klant van ING te zijn. Alleen als je je pas, identiteitsbewijs en telefoon altijd gescheiden houdt heb je nog wat invloed.

Of je valt terug op het bestaande systeem met je TANlijsten op papier.
Of je stemt met je voeten, dat mag ook - al zal dat wat lastig zijn als je ook nog eens een hypotheek hebt lopen e.d...

Rukapul schreef op dinsdag 26 januari 2010 @ 10:55:
Ik kan me overigens wel voorstellen waarom ING dit wil. Het zal me namelijk niet verbazen als voor elk afgeleverd wachtwoord bij het postkantoor de totale kosten voor de wachtwoordreset oplopen tot een paar euro totaal.

Dus: sukkels die hun wachtwoord vergeten zijn gewoon laten betalen hiervoor!
Voordeel1: de veroorzaker wordt gestraft
Voordeel2: de rest van de gebruikers niet

BoGhi schreef op dinsdag 26 januari 2010 @ 16:41:
Dus: sukkels die hun wachtwoord vergeten zijn gewoon laten betalen hiervoor!
Voordeel1: de veroorzaker wordt gestraft
Voordeel2: de rest van de gebruikers niet

Het gaat er niet om of je je wachtwoord kwijtraakt of niet, maar om een heel zwakke procedure in het geautomatiseerde password-reset systeem. Iedere idioot kan zich voordoen als een ING klant en het systeem wijsmaken dat jij je wachtwoord kwijt bent geraakt. In jouw 'oplossing' moeten mensen die getroffen worden door misbruik ook nog eens betalen?

[ Voor 6% gewijzigd door gertvdijk op 26-01-2010 16:44 ]

Zelf ben ik ook klant, ik ben niet echt van het : Het is fout ik ga overstappen.
Echter ben ik hier _niet_ blij mee.

Misschien is het mogelijk dat de klanten overgezet kunnen worden naar de ING reader die dit willen?
Immers de ING klanten gebruiken dit al, de postbank klanten niet.

[ Voor 13% gewijzigd door LuckY op 26-01-2010 16:45 ]

alt-92 schreef op dinsdag 26 januari 2010 @ 16:37:
[...]

Of je valt terug op het bestaande systeem met je TANlijsten op papier.

Dat is dus niet meer mogelijk, ik heb daar net aan de telefoon nog over geinformeerd, en het is niet mogelijk om nog terug te stappen. Ook bij nieuwe aanvragen kun je geen papieren TAN lijsten meer nemen.

Of je stemt met je voeten, dat mag ook - al zal dat wat lastig zijn als je ook nog eens een hypotheek hebt lopen e.d...

Dat blijft inderdaad over als alternatief, maar als dat de enige oplossing is, vind ik het alle ophef wel waard.

alt-92 schreef op dinsdag 26 januari 2010 @ 16:37:
[...]

Of je valt terug op het bestaande systeem met je TANlijsten op papier.
Of je stemt met je voeten, dat mag ook - al zal dat wat lastig zijn als je ook nog eens een hypotheek hebt lopen e.d...

Terug naar papier schijnt niet te kunnen. Blijft opzeggen over. Misschien dat je door de wijziging in de voorwaarden meteen je hypotheek kunt beëindigen. Anders heb je kans dat de opzegtermijn zo'n 30 jaar is

LuckyY schreef op dinsdag 26 januari 2010 @ 16:44:
Misschien is het mogelijk dat de klanten overgezet kunnen worden naar de ING reader die dit willen?

Ik had altijd een ING reader (zonder pasgleuf, vast ingebakken chippie) toen het nog ING Bank was (voor de fusie met Postbank). Werkte altijd prima, maar sinds de fusie moest ik gebruik gaan maken van de nieuwe inlogmethode. Het enige wat je nu nog kan met de 'reader' is de procedure opstarten voor het maken van een nieuwe login.

LuckyY schreef op dinsdag 26 januari 2010 @ 16:44:
Immers de ING klanten gebruiken dit al, de postbank klanten niet.

Niet meer hoor. Sinds mei vorig jaar is dit hele systeem uitgebonjourd. ING Bank klanten werden overgezet naar het integrale ING systeem, met het internetbankierensysteem van de Postbank.
Daar is voor mij heel veel misgegaan, niet alleen met internetbankieren, vandaar dat ik er al langer weg ben.

[ Voor 34% gewijzigd door gertvdijk op 26-01-2010 16:51 ]

gertvdijk schreef op dinsdag 26 januari 2010 @ 16:46:
[...]

Ik had altijd een ING reader (zonder pasgleuf, vast ingebakken chippie) toen het nog ING Bank was (voor de fusie met Postbank). Werkte altijd prima, maar sinds de fusie moest ik gebruik gaan maken van de nieuwe inlogmethode. Het enige wat je nu nog kan met de 'reader' is de procedure opstarten voor het maken van een nieuwe login.

[...]

Niet meer hoor. Sinds mei vorig jaar is dit hele systeem uitgebonjourd.

Dat is dan mooi Fscked

gertvdijk schreef op dinsdag 26 januari 2010 @ 16:43:
[...]

Het gaat er niet om of je je wachtwoord kwijtraakt of niet, maar om een heel zwakke procedure in het geautomatiseerde password-reset systeem. Iedere idioot kan zich voordoen als een ING klant en het systeem wijsmaken dat jij je wachtwoord kwijt bent geraakt. In jouw 'oplossing' moeten mensen die getroffen worden door misbruik ook nog eens betalen?

Beter lezen, ik stel alleen voor dat degene die via de omslachtige procedure zoals die nu is zijn wachtwoord laat resetten zelf voor die kosten opdraait!

Herko_ter_Horst schreef op dinsdag 26 januari 2010 @ 16:39:
Die gegevens wil je natuurlijk NIET zomaar ergens uit een printer laten rollen.

Eens, maar er zijn best technische oplossingen te verzinnen. Een iets ingewikkeldere printer die automatisch een kras plakkertje over de zojuist geprinte code heen plakt voordat hij er uit rolt?

Je krijgt nu een (automatisch aangemaakte) dichte envelop met doorkijkbeveiliging, die op naam wordt uitgereikt. De baliemedewerker kan jouw gegevens niet zien zonder de envelop te openen. En jij krijgt de gegevens pas mee als je kunt indentificeren met paspoort of rijbewijs. Om deze reden sturen ze het ook niet per post.

Dus zo heel veel makkelijker kan het niet. Iets sneller kan nog wel (next business day moet mogelijk zijn).

Ik ben het met je eens dat de huidige oplossing (dus niet de nieuwe) uitermate veilig is en is zou als je het zou willen. Ik geef alleen aan dat er een enorm grijs gebied tussen zit. Het kan wel degelijk makkelijker waarbij je maar een klein beetje veiligheid inlevert.

Ik heb nog liever dat een baliemedewerkster eventueel de mogelijkheid zou kunnen hebben dat ze mijn gegenereerde wachtwoord kunnen zien dan dat het wachtwoord gewoon opgevraagd kan worden door die klojo die net het tasje van mijn vrouw gejat heeft met hierin de portemonnee en de telefoon.

Er is een update @ FP geplaatst. Schijnt dat je toch de username niet per SMS kan krijgen.

iisschots schreef op dinsdag 26 januari 2010 @ 17:16:
Er is een update @ FP geplaatst. Schijnt dat je toch de username niet per SMS kan krijgen.

Dat was hier al opgevallen, hoor. Het maakt het voorgestelde systeem een klein beetje minder lek/fraudegevoelig met die update inderdaad, maar tegelijk verplaatst ING de eigenschappen van een wachtwoord naar de gebruikersnaam. De gebruikersnaam moet nu net zo geheim worden gehouden als het wachtwoord en dat zijn gebruikers niet gewend. Het is tegenstrijdig met alle andere vormen van authenticatie die ze tegenkomen, volledig tegenintuïtief en daardoor dus verwarrend.

[ Voor 4% gewijzigd door gertvdijk op 26-01-2010 17:21 ]

"Voor het beantwoorden van uw e-mail hebben wij wat meer tijd nodig dan u van ons gewend bent.
Wij nemen binnen 5 werkdagen telefonisch contact met u op. Wanneer wij u niet kunnen bereiken
ontvangt u een schriftelijke bevestiging met daarin de gegevens van de contactpersoon."

Ik ben niks van hun gewend

Herko_ter_Horst schreef op dinsdag 26 januari 2010 @ 16:48:
[...]

Aangezien je hypotheek niet gekoppeld is aan MijnING.nl, noch aan je ING rekening, slaat dit als een tang op een varken. Er is ook geen enkele reden om je hypotheek bij ING weg te halen of dat je je hypotheek niet zou kunnen houden als je geen rekening bij ING meer hebt.

Excuus. Ik reageerde op een andere post en heb de feiten niet gecontroleerd.

ING-woordvoerster Monique Bouwmeester zegt dat gebruikers hun username inderdaad beter kunnen veranderen naar iets wat niet voor de hand ligt. "Het is nooit slim om je voorletter en achternaam in te stellen als gebruikersnaam", zegt ze.

Oei, meteen m'n Tweakers en Hyves gebruikernamen wijzigen . Hoeveel bedrijven voldoen niet aan de nieuwe ING-standaard?

Ik vind het een duidelijke achteruitgang.

Ze 'verplichten' mij om mijn telefoon niet bij mijn pinpas / rijbewijs te bewaren.
Ik vind dat je een gebruikersnaam niet als 'beveiliging' kan gebruiken (nieuws stuk frontpage 'gebruik geen makkelijke gebruikersnaam').

Ik zit op voetbal waarbij ik niet altijd controle heb over mijn tas. Dat betekend dat ik mijn telefoon thuis zou moet moeten laten. Dat is opzich een verstandige keuze maar in sommige gevallen is het niet mogelijk.

Alleen mijn telefoon gestolen 'kan ik hebben'. Blijft balen maar als het risico van mijn bank er ook aangekoppeld is wordt het lastig. Ik heb op dit moment ook geen inzicht hoe makkelijk ik mijn telefoonnummer kan blokkeren op ING.nl. Het wijzigen gaat in elk geval via de 'gestolen' telefoon.

Het is voor mij reden om ING op te zeggen. Ik vond het systeem met TAN codes makkelijk omdat ik overal zo geld kan overmaken.

Ik denk dat ik het missen van die optie liever heb dan continue mijn telefoon/portemonnee niet bij elkaar bewaren.

Ik blijf het toch een storm in een glas water vinden. Het kàn gebeuren dat iemand een telefoon jat en dan met gegokte gebruikersnaam een nieuw password aanvraagt. Dan kan hij (zij) bij je internetbankiergegevens. De enige manier om vervolgens wat met dat geld te doen, is om het over te schrijven naar een andere rekening.
Pas dan kan de dader met een pinpas contant geld opnemen en verdwijnt het geld buiten beeld. Op het moment dat zoiets gebeurt, kan je prima aantonen dat er een relatie is tussen de gestolen telefoon, de wijziging van inloggegevens en de overboeking. Via die overboeking moet het mogelijk zijn om ofwel het geld terug te boeken (problem solved), of om de dader te achterhalen (en te trachten het geld terug te claimen).

Skimming is veel gemener, omdat je daar als slachtoffer niet direct iets van mist (je hebt je pas en pin nog) totdat je rekening leeg is door het saldo (contant) uit een pinautomaat te trekken.

De meeste reacties suggereren dat het geld via internetbankieren meteen in één of ander duister gat verwijnt, waar je het nooit meer kunt achterhalen. Naar mijn idee genereert zo'n actie voldoende sporen om één en ander weer recht te kunnen zetten. Het verdient allemaal geen schoonheidsprijs, maar het is ook niet het drama dat velen er hier van maken.

ING zou nog wat veiligheid in kunnen bouwen door, na wijzigen van de inloggegevens, minimaal 12 uur geen transacties toe te staan. Dan rem je de boeven behoorlijk af en geef je het slachtoffer de kans om zijn telefoon te blokkeren/GN te wijzigen/enzovoorts.

[ Voor 9% gewijzigd door Reptile209 op 26-01-2010 19:00 ]

Hij kan het geld wel overmaken naar een buitenlandse rekening, of schaduwachtige betaaldiensten.
Western union met iDeal

Het is denk ik minder erg als skimming, bij skimming kan je aantonen dat je het niet geweest ben. Ik pin bijna elke dag als ik vanmiddag in amsterdam pin, wordt het vrij lastig als ik 4 uur later in rome pin.
(ook al is het mogelijk).

Hier lijkt alles legitiem omdat het van hetzelfde telefoonnummer komt.
Tevens lijkt mij de administratieve rompslomp bij die gebeuren veel erger.

Herko_ter_Horst schreef op dinsdag 26 januari 2010 @ 16:48:
[...]

Aangezien je hypotheek niet gekoppeld is aan MijnING.nl, noch aan je ING rekening, slaat dit als een tang op een varken. Er is ook geen enkele reden om je hypotheek bij ING weg te halen of dat je je hypotheek niet zou kunnen houden als je geen rekening bij ING meer hebt.

Dat weet ik, al zul je bij het overstappen naar een andere bank iets meer moeite moeten nemen om je aflossing/rentebetalingen te continueren.
Maar goed, nieuwe rekeningnummer moet je sowieso al overal bijwerken - dan kan dat er ook nog wel bij

@Reptile209:

Een stroman een rekening laten openen (Gewoon een willekeurige zwerver geef je E100 cash. Op die manier zijn er ook zwervers met de grootste wagenparken en bergen achterstallige wegenbelasting en parkeer- en snelheidsbeukeringen). Kraak zetten (bij voorkeur meerdere slachtoffers). Bulk geld overmaken en gelijk van de rekening halen (al was het maar door een grote aankoop te doen oid).

Ik was al aan het kijken naar een andere bank maar had daar niet echt haast mee. Nu weet ik dat ik voor Maart over moet zijn... weet iemand nog een goede bank met een degelijk beveiligde en ideal-capabele betaalomgeving??

Er staat een reactie van ING zelf bij de comments op de FP.
Verwijderd in 'nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update'

Geachte heer Rukapul,

Wij begrijpen uw zorgen over de veiligheid van het verstrekken van een nieuw wachtwoord per SMS. De veiligheid van Mijn ING staat hoog in het vaandel bij de ING. Wij hebben dan ook uitvoerig onderzoek gedaan naar de veiligheid van het versturen van een nieuw wachtwoord per sms.

De conclusie van het onderzoek is dat het veilig is om per sms een wachtwoord voor Mijn ING aan te vragen. Het is voor de veiligheid wel belangrijk dit wachtwoord direct te wijzigen.

Na uw aanvraag ontvangt u direct een sms met uw tijdelijke wachtwoord. Dit wachtwoord is 30 minuten geldig. Log daarom meteen in op Mijn ING met uw gebruikersnaam en het tijdelijke wachtwoord. Volg vervolgens de instructies op het scherm om het tijdelijke wachtwoord te wijzigen.

De ING biedt u een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Zijn uw telefoon en Betaalpas gestolen, bel dan zo snel mogelijk de ING: 058 212 2600. Uw pas wordt dan direct geblokkeerd. Er kan dan geen nieuw wachtwoord aangevraagd worden.

Daarnaast kunt u in Mijn ING zelf uw TAN-functie blokkeren. Na inloggen kiest u links in het menu voor ‘Service en instellingen'. Bij ‘TAN-functie blokkeren/activeren' kiest u voor ‘Blokkeren TAN-functie / activeringscode aanvragen'.

Indien u het niet eens bent met de wijziging heeft u het recht de overeenkomst van uw betaalproduct of betaalinstrument met onmiddellijke ingang kosteloos op te zeggen vóór de ingangsdatum van de wijziging. Doet u dit niet, dan betekent dit dat u de wijziging aanvaardt.

Met vriendelijke groet,
ING Klantenservice

Dhr. A.L. W*****
Manager Verkoop en Service

Ik beraad mij op vervolgstappen.

Ik ben erg benieuwd naar dat onderzoek en door wie dat uitgevoerd is. Zoals ik ook op de frontpage aangaf (alhoewel het daar om de toezichthouders ging) hebben ze daar nog een vacature voor iemand met wat boeren verstand....

Rukapul schreef op dinsdag 26 januari 2010 @ 20:51:
[...]

Ik beraad mij op vervolgstappen.

Tsja. Er valt weinig te doen denk ik. Ik zeg mijn rekening denk ik maar op, ik hoef geen bankrekening bij een bank die niet aan veiligheid doet.

HenkEisDS schreef op dinsdag 26 januari 2010 @ 20:50:
Er staat een reactie van ING zelf bij de comments op de FP.
Verwijderd in 'nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update'

Volgens mij allemaal intern beraadslaagt vandaag,
binnen enkele uren, maar iets bedacht om alle heisa iets weg te nemen.

Ik ben niet van plan direct op te geven en met m'n voeten te stemmen. Eerst maar eens wat opties verkennen:
Schriftelijke kracht indienen bij ING.

quote: http://www.dnb.nl/over-dnb/taken/betalingsverkeer/index.jsp

Giraal betalingsverkeer

DNB onderhoudt het betaalsysteem waarmee banken en effecteninstellingen hun onderlinge geldtransacties uitvoeren. Nieuwe betaalmogelijkheden (zoals betalen via internet) worden eerst aan een onderzoek onderworpen. Want betaalsystemen die niet goed werken of waarmee fraude mogelijk is, kunnen de financiële stabiliteit ondermijnen.

Brief naar DNB. Contact DNB.

quote: http://consument.afm.nl/consumenten/afm/meldpunt.aspx

Meldpunt Financiële Markten

Bij het Meldpunt Financiele Markten kun je terecht met je vraag of klacht over een financieel aanbieder. Alle meldingen die hier binnen komen worden geregistreerd en met zorg behandeld.
Meld bij het Meldpunt onder andere wanneer je:

* een klacht hebt over sparen, lenen, beleggen, pensioenen of verzekeren in Nederland
* twijfelt of de informatie in advertenties of reclames van financiële producten wel juist is
* vermoedt dat een persoon of onderneming op de financiële markt de wettelijke regels overtreedt of betrokken is bij fraudepraktijken
* informatie wilt over een bepaalde wet
* wilt weten welke ondernemingen onder toezicht staan bij de AFM

Kijk ook eens bij de veelgestelde vragen op onze website. Misschien staat je vraag daar wel tussen!

Wat doet de AFM met mijn melding?
De AFM kan een onderzoek instellen naar een financiële onderneming die mogelijk de regels heeft overtreden. Als het nodig is kan de AFM met de onderneming een gesprek aangaan, een boete opleggen of de vergunning intrekken. Je klacht kan ook bijdragen aan het aanpassen van de wet- en regelgeving.

Klacht bij AFM.

Klachten neerleggen bij de consumentenbond, kassa, radar en andere clueless herrieschoppers.

De financiele ombudsman en Kifid laat ik maar buiten beschouwing

Het zou wel een goede aanleiding zijn om eens naar een kleine bank te verkassen zoals Triodos of ASN als ie wel voldoen, maar ik vrees dat ik de boel niet binnen anderhalve maand omgezet krijg.

Dat gaat natuurlijk niet lukken, dat moet een webcare team ook wel snappen!

Net voor de zekerheid even mijn papieren bekeken...de extra bijzondere rente die ik krijg op m'n hypotheek omdat ik mijn salaris laat storten op mijn giro rekening geldt maar voor de eerste 12 maanden...ik ben inmiddels al 4 jaar verder...wordt overstappen toch nog een optie.

Rukapul schreef op dinsdag 26 januari 2010 @ 21:25:
Eerst maar eens wat opties verkennen:
Schriftelijke kracht indienen bij ING.

Klacht bedoel je neem ik aan. Tja, het is dan feitelijk een klacht over de voorwaarden waar jij niet mee akkoord hoeft te gaan en die nog niet zijn ingegaan. Ik twijfel eraan dat hier ook maar enigszins naar wordt gekeken. Hooguit wordt je meegenomen in statistieken, als je klacht op de goede stapel terecht komt. Daarnaast heeft ING hierover al een duidelijk standpunt ingenomen en die zal niet op individuele basis anders zijn.

Rukapul schreef op dinsdag 26 januari 2010 @ 21:25:
Brief naar DNB.

Dat lijkt me een het beste meldpunt. Zij moeten, zoals uit je eigen quote van de DNB-site al blijkt, toezicht houden op het betaalsysteem van een financiële instelling met bankvergunning, inclusief de fraudegevoeligheid ervan genoemd als aspect. Naar mijn idee exact de spijker op zijn kop.

Ik ben wel erg benieuwd naar het standpunt van de DNB in deze eigenlijk.

Rukapul schreef op dinsdag 26 januari 2010 @ 21:25:
Klacht bij AFM.

Die gaat meer over de financiële producten uit de sector en niet over technische implementaties van de beveiliging van een betaalsysteem, lijkt me. Dit is een meldpunt wanneer je praat over een woekerpolis of misleidende reclame e.d.

Rukapul schreef op dinsdag 26 januari 2010 @ 21:25:
Klachten neerleggen bij de consumentenbond, kassa, radar en andere clueless herrieschoppers.

Dit kan je inzetten als extra middel om mensen bewust te maken, het aandacht te geven.

[ Voor 3% gewijzigd door gertvdijk op 26-01-2010 22:20 ]

Tsjah de maatregelen die ze genomen hebben voor het wachtwoord schiet ook niet op. Want al die gegevens zitten in je portemonnee

gertvdijk schreef op dinsdag 26 januari 2010 @ 22:10:

Ben het wel met je analyse eens.

De DNB is natuurlijk niet primair gericht op input van individuele consumenten. Er zijn wel wat aanknopingspunten), maar deze zijn zoals te verwachten veelal procesgericht en niet techniek specifiek. Iets concretere aanknopingspunten zijn bv te vinden in punt 9 op p11-13 van • Aanbevelingen voor Betaalproducten.

Heb zojuist een klacht ingediend bij ING hierover (stukje van Janoz (fp) overgenomen en aangepast):

L.S,

Met verbijstering heb ik kennis genomen van de aankomende veranderingen in de beveiliging van het internetbankieren.

Door deze wijziging wordt ik genoodzaakt mijn bankpas, identiteitsbewijs en telefoon volledig gescheiden te bewaren zodat ze nooit tegelijk ontvreemd kunnen worden. Mijn rijbewijs en bankpas kunnen dus niet meer in dezelfde portemonnee, laat staan gezamelijk met mijn GSM worden bewaard, gezien een dief/rover anders in 1 keer over vrijwel alle benodigde informatie kan beschikken om mijn rekening leeg te halen:
- rekeningnummer + pasnummer (pinpas)
- naam + geboortedatum (rijbewijs of id-bewijs)
- wachtwoord en TAN-codes voor overboeking (GSM)
Alleen de gebruikersnaam ontbreekt, maar gezien veel mensen 'onthoudt gebruikersnaam' of een anderszins eenvoudig te raden username hebben zal dit de nodige beveiligingslekken opleveren. De noodzaak die hiermee ontstaat om de username in iets 'onmogelijk te raden' te veranderen is m.i. belachelijk: dat is nou precies waar passwords voor bestaan, en die moeten gewoon - heel simpel - veilig zijn. Ofwel: NIET opvraagbaar per GSM.

Graag wil ik een mogelijkheid om het versturen van een wachtwoord via SMS uit te zetten. Ik ben prima in staat mijn wachtwoorden te onthouden en weiger bij een diefstal/beroving mogelijk de dupe van deze maatregel te worden omdat andere klanten van u hier blijkbaar moeite mee hebben, en er vervolgens ook moeite mee hebben te wachten op een nieuw wachtwoord dat - wel veilig - na identificatie bij een ING kantoor moet worden afgehaald. Dat is hun probleem en moet niet het mijne noch dat van de vele andere bezorgde klanten worden.
Als eerder genoemde mogelijkheid tot uitschakelen van deze bijzonder onveilige maatregel er niet komt zie ik geen andere mogelijkheid dan over te stappen naar een andere bank die de grondbeginselen rond beveiliging wel snapt en die tevens hoog in het vaandel heeft staan.

Vriendelijke groeten,
.

Wat een grappenmakers zeg... En je moest eens weten hoe spastisch er intern door security wordt gedaan over futiliteiten als het door beheerders benaderen van servers waarop door henzelf beheerde en alleen intern in gebruik zijnde applicaties draaien. Daar zijn wel tig te doorlopen procedures en handtekeningen van specifieke tekenbevoegde managers voor nodig. Maar een dief met je GSM en portemonnee kan na raden username gewoon zonder meer volledig los op je bankrekening

[ Voor 13% gewijzigd door Cheetah op 27-01-2010 00:11 ]

En je moest eens weten hoe spastisch er intern door security wordt gedaan over futiliteiten als het door beheerders benaderen van servers waarop door henzelf beheerde en alleen intern in gebruik zijnde applicaties draaien.

Ja, want stel je voor! Een beheerder zou natuurlijk nooit iets met Swift* of de dealing room applicaties uit kunnen vreten! Tuurlijk niet...

Het grootste gevaar bij bedrijven komt doorgaans van binnenaf, niet van buiten.

*: Voor de niet-bankiers, Swift is de standaard voor inter-bankair betalingsverkeer. Schuiven met geld dat tussen banken heen en weer gaat.

Ik heb zojuist via twitter het e-mail adres van de klantenservice doorgekregen.

Voor iedereen die nog meer om onduidelijke redenen geen gebruik mag maken van het formulier op de website:

ing@ing.nl

cailin_coilleach schreef op woensdag 27 januari 2010 @ 05:55:
Ja, want stel je voor! Een beheerder zou natuurlijk nooit iets met Swift* of de dealing room applicaties uit kunnen vreten! Tuurlijk niet...

Ik schreef: "...alleen intern in gebruik zijnde applicaties". Ofwel die de externe wereld niet direct raken
Dus automatisch niet die van de dealing room en Swift uiteraard. Er draaien bergen apps die nauwelijks of helemaal niet gevoelig zijn, en die alleen intern op 1 enkele afdeling gebruikt worden. Maar ook bij die machines kom je als beheerder niet zonder een fikse papiermolen in te gaan

Het grootste gevaar bij bedrijven komt doorgaans van binnenaf, niet van buiten.

Eens. Maar dat betekent niet dat je het kwaadwillenden van buiten dan maar gemakkelijk moet gaan maken.
En dat is m.i. wel exact wat hier gebeurd. Een skimmer kan max 1000 euro per dag opnemen, alleen van je betaalrekening, en moet fysiek naar een pinautomaat (dus wordt gefilmd met wat mazzel). Een kwaadwillende die door deze non-beveiliging heen komt trekt binnen 5 minuten vanaf een anonieme internetverbinding al je gekoppelde betaal- en spaarrekeningen leeg.

[ Voor 19% gewijzigd door Cheetah op 27-01-2010 11:02 ]

Rukapul schreef op dinsdag 26 januari 2010 @ 21:25:
Het zou wel een goede aanleiding zijn om eens naar een kleine bank te verkassen zoals Triodos of ASN als ie wel voldoen, maar ik vrees dat ik de boel niet binnen anderhalve maand omgezet krijg.

De banken hebben sinds enige tijd een overstap service welke het overstappen naar een andere bank makkelijker maakt. Voor max. 12 maanden worden alle mutaties op je oude bank automatisch doorgestuurd naar je nieuwe bank.

edie schreef op woensdag 27 januari 2010 @ 13:05:
De banken hebben sinds enige tijd een overstap service welke het overstappen naar een andere bank makkelijker maakt. Voor max. 12 maanden worden alle mutaties op je oude bank automatisch doorgestuurd naar je nieuwe bank.

gertvdijk schreef op woensdag 27 januari 2010 @ 13:29:
[...]

offtopic:
Dat is 13 maanden en gedurende al die tijd moet je ook blijven betalen voor de dienstverlening van je oude bank. Het is beter om gewoon zelf je gegevens overal te wijzigen. Kost een paar uurtjes en een paar telefoontjes, maar scheelt extra administratie, overboeken en kosten voor een extra rekening.

edie schreef op woensdag 27 januari 2010 @ 14:22:

offtopic:
Je moet nog steeds zelf alle bedrijven langs om je gegevens te wijzigen. Deze service voorkomt echter dat je per ongeluk één bedrijf vergeet die maar 1 keer per jaar wat afschrijft.

Blijkbaar heeft de ING Klantenservice het zo druk, dat er geen lange reacties meer afkunnen. Of mijn klacht was zodanig slecht verwoord, dat ze er geen tijd aan wilden verspillen, dat kan ook:

Geachte heer [naam],

Wij vinden het jammer te horen dat u overweegt naar een andere bank over te stappen door de nieuwe voorwaarden van Mijn ING.

Indien u het niet eens bent met de wijziging heeft u het recht de overeenkomst van uw betaalproduct of betaalinstrument met onmiddellijke ingang kosteloos op te zeggen vóór de ingangsdatum van de wijziging.

Met vriendelijke groet,
ING Klantenservice

Ik heb wel een iets uitgebreidere reactie ontvangen, maar met dezelfde strekking. Ik vind het jammer dat de ING niet snapt dat het redelijk eenvoudig is in het bezit te komen van iemands gebruikersnaam. Bijvoorbeeld door deze af te lezen van het scherm als diegene aan het inloggen is. Heeft iemand eenmaal de gebruikersnaam ontdekt dan heeft hij alle tijd om een plan te beraden om mijn telefoon en portemonnee te jatten. Voordat ik erachter kom dat die weg zijn is de dief natuurlijk al lang ingelogd en is mijn rekening leeg.

Anakha schreef op woensdag 27 januari 2010 @ 17:14:
Blijkbaar heeft de ING Klantenservice het zo druk, dat er geen lange reacties meer afkunnen. Of mijn klacht was zodanig slecht verwoord, dat ze er geen tijd aan wilden verspillen, dat kan ook:

Je krijgt ook echt het gevoel dat er als klant naar je geluisterd wordt en je serieus genomen wordt in je bezorgdheid

[ Voor 44% gewijzigd door Cheetah op 28-01-2010 12:30 ]

Kreeg ook zo'n mail met wat uitleg:

Geachte heer <J2pc>,

Graag geven wij u meer informatie over de nieuwe procedure met betrekking tot het aanvragen van een wachtwoord via de mobiele telefoon. In maart 2010 voert de ING een aantal wijzigingen door met betrekking tot de dienstverlening van Mijn ING. Hierdoor wijzigen ook de voorwaarden. Met betrekking tot deze veranderingen geldt het volgende:

Een klant kan de TAN-sms gebruiken om een nieuw (tijdelijk) wachtwoord per sms-bericht te ontvangen. Dit wachtwoord is 30 minuten geldig. Wij adviseren de klanten daarom ook om direct na ontvangst van het tijdelijke wachtwoord op Mijn ING in te loggen, en de instructies op het scherm te volgen om het tijdelijke wachtwoord te wijzigen

Deze vereenvoudiging geldt niet voor het aanvragen van een nieuwe gebruikersnaam. Omdat meer klanten opnieuw een wachtwoord aanvragen, heeft de ING ervoor gekozen alleen het wachtwoord per sms te verstrekken. Het is niet mogelijk om de gebruikersnaam en het wachtwoord in 1 sms te ontvangen. Indien een van onze klanten een nieuwe gebruikersnaam wil aanvragen,dan geldt hiervoor de reguliere procedure.

Als de telefoon en portemonnee met Betaalpas van een klant zijn gestolen, dan wordt hem geadviseerd om direct met de 24-uurs Alarmlijn (058 212 2600) te bellen en de pas te laten blokkeren. Er kan dan geen nieuw wachtwoord meer aangevraagd worden. De pasgegevens dienen namelijk als controlegegevens voor het aanvragen van een wachtwoord. Daarnaast kan klant zelf via Mijn ING zijn TAN-functies blokkeren.

Met vriendelijke groet,
ING Klantenservice

Dhr. <X>
Manager Verkoop en Service

Erg leuk natuurlijk, maar als ik m'n telefoon kwijt ben, wordt het wat lastig om een nummer te bellen, laat staan een die je niet uit je hoofd weet.

Maargoed, Gebruikersnamen worden dus niet per sms verstuurd (al staat er in mijn email niet in dezelfde sms). Dit maakt het al een stuk minder erg. Hoewel het nog steeds een achteruitgang is, en een gebruikersnaam inderdaad vrij makkelijk opgevangen kan worden als er eens iemand meekijkt.

Ze staan helaas ook gewoon plain-tekst op je pc als je het vinkje aanzet.



Ik zou nog steeds graag zien dat ze dit optioneel maken (liefst opt-in, desnoods opt-out). Dat je het gewoon bij je instellingen kan aangeven...

/edit
Als je trouwen het vinkje weghaalt & inlogd, wordt de username niet meer getoond, maar hij blijft wel in het cookie bestand staan (niet te zien via extra->opties->privacy->cookies tonen)

[ Voor 3% gewijzigd door J2pc op 27-01-2010 20:05 ]

Rukapul schreef op dinsdag 26 januari 2010 @ 20:51:
[...]

Ik beraad mij op vervolgstappen.

Ik heb precies dezelfde reactie gekregen...copy plak aktie van de ING dus. Ben er eigenlijk wel klaar mee...

Ik weet dat ze bij de ING wel serieus aan Security doen, ken meerdere jongens die daar regelmatig voor ingehuurd worden. Maar goed, dat wil niet zeggen dat ze het niet mis kunnen hebben. Eén creativeling onder de hackers is genoeg om een legertje white-hats te slim af te zijn. En dan resteert hen niet veel meer dan te zeggen 'daar hadden we in eerste instantie niet aan gedacht, maar we hadden ook een timebox etc. etc'. De security-testen worden uitgevoerd in een wereldje van drukte, waarin parallel veel projecten lopen, waarvan de einddatum altijd onder druk komt te staan. In dit topic zijn vast al veel punten naar voren gekomen waar de bedenkers van deze nieuwe procedure misschien toch niet zo uitgebreid over nagedacht hebben.

Een wat minder hi-tech aanpak, waarin de voorgestelde nieuwe situatie ook onveiliger is dan de bestaande:
men dringt thuis binnen bij een ING-klant, alwaar alle benodigdheden voor het succesvol afboeken van een som geld in de nieuwe situatie waarschijnlijk te verkrijgen zijn ZONDER medewerking van de rekeninghouder. Bankpas, mobieltje en PC of laptop zijn daar allen aanwezig. Gebruikersnaam is mogelijk/waarschijnlijk te achterhalen op de PC of laptop, zie eerdere opmerkingen hierover. Het enige dat men niet weet is het wachtwoord. In de huidige situatie is dat voldoende om misbruik tegen te gaan (als de rekeninghouder dat tenminste niet vertelt), in de nieuwe situatie laten de aanvallers dit gewoon resetten en is de medewerking van de rekeninghouder dus helemaal niet meer nodig..

J2pc schreef op woensdag 27 januari 2010 @ 20:02:
/edit
Als je trouwen het vinkje weghaalt & inlogd, wordt de username niet meer getoond, maar hij blijft wel in het cookie bestand staan (niet te zien via extra->opties->privacy->cookies tonen)

Dit is ook wel weer jammer, denk je je username van je pc verwijdert te hebben n.a.v. deze aankondiging, blijft die dus alsnog op je pc staan.

Een klant kan de TAN-sms gebruiken om een nieuw (tijdelijk) wachtwoord per sms-bericht te ontvangen. Dit wachtwoord is 30 minuten geldig. Wij adviseren de klanten daarom ook om direct na ontvangst van het tijdelijke wachtwoord op Mijn ING in te loggen, en de instructies op het scherm te volgen om het tijdelijke wachtwoord te wijzigen

Ze denken dat wij bang zijn dat als je zelf een nieuw wachtwoord aanvraagt dat dit onderschept kan worden of zow, die kans acht ik niet zo groot als je idd zoals aangegeven direct je wachtwoord wijzigt. Terwijl het antwoord op de vraag:

• Wat als je telefoon en portemonnee gestolen zijn en je er een uur later pas achter komt. Dan kan de dief dus intussen vanuit zijn auto op zijn (of misschien wel jouw) laptop je bankrekening hebben leeggehaald.

niet echt wordt beantwoord.

[ Voor 48% gewijzigd door 2_05 op 27-01-2010 22:06 ]

Uiteindelijk komt het er op neer dat je gebruikersnaam, die op de computer achterblijft en waar ze zelfs een vinkje voor hebben, de functie van een wachtwoord overneemt. Je gebruikersnaam is je geheime sleutel.. Omgekeerde wereld dus bij ING.

Ik krijg ook wel een opmerkelijk antwoord

Geachte heer Versteeg,

Uit uw e-mail maken wij op dat u vermoedt dat het makkelijk is om misbruik te maken
met inloggegevens wanneer de nieuwe voorwaarden worden toegepast.

Graag stellen wij u gerust. Het wachtwoord wordt u alleen toegestuurd wanneer u
reeds ingelogd bent in uw Mijn ING. U kunt de TAN-sms gebruiken om een nieuw
(tijdelijk) wachtwoord per sms-bericht te ontvangen. Uit veiligheidsoverwegingen is
dit wachtwoord is 30 minuten geldig. Vervolgens dient u het tijdelijke wachtwoord te
wijzigen.

Wanneer uw telefoon dus is gestolen, kan de dief niet bij uw gegevens van uw Mijn
ING. Tevens adviseren wij u bij diefstal van uw telefoon direct de TAN-functie te
blokkeren via uw Mijn ING.

Met vriendelijke groet,
ING Klantenservice

Dhr. <X>
Manager Verkoop en Service

Dit kan 2 dingen betekenen. Of ze hebben een compleet nutteloze dienst bedacht ( Immers wie wil een nieuw tijdelijk password ontvangen als hij al is ingelogd ), en dit is een storm in een glas water. Of ze lopen onzin te verkondigen.

Ik gok toch op het tweede

Woy schreef op donderdag 28 januari 2010 @ 08:26:
Ik krijg ook wel een opmerkelijk antwoord

[...]

Dit kan 2 dingen betekenen. Of ze hebben een compleet nutteloze dienst bedacht ( Immers wie wil een nieuw tijdelijk password ontvangen als hij al is ingelogd ), en dit is een storm in een glas water. Of ze lopen onzin te verkondigen.

Ik gok toch op het tweede

Lol, da's inderdaad wel een stom antwoord...

Ik ben benieuwd of ING nog met een officiële reactie komt aangaande dit gebeuren...
Ze gaan op het moment niet in op argumenten, en je krijgt enkel een standaard mailtje terug om je 'gerust' te stellen...

Zo, ik heb mijn rekening opgezegd. De medewerker aan de telefoon probeerde mij er nog van te overtuigen dat het bij andere banken nog onveiliger is "want een PIN-code kan je gewoon afkijken"... Blijkbaar geldt een PIN-code tegenwoordig niet meer als iets geheims, en een gebruikersnaam wel!

deathz0rz schreef op donderdag 28 januari 2010 @ 11:01:
Zo, ik heb mijn rekening opgezegd. De medewerker aan de telefoon probeerde mij er nog van te overtuigen dat het bij andere banken nog onveiliger is "want een PIN-code kan je gewoon afkijken"... Blijkbaar geldt een PIN-code tegenwoordig niet meer als iets geheims, en een gebruikersnaam wel!

Dat slaat dus echt als een tang op een varken.
In het nieuwe systeem van de ING kan een dief die de juiste dingen jat zonder meer toegang krijgen tot je rekening. Dan hoeft hij helemaal niets af te kijken.

Bij het huidige systeem, en bij iedere andere bank, zal een kwaadwillend persoon op zijn minst eerst een wachtwoord of code moeten zien te achterhalen. En aangezien die alleen in jouw hoofd zit, heb je dus altijd controle over wat er mee gebeurt.

Ik ben klaar met babbelen met de klantenservice. Heb inmiddels een lijvige email met onze bezwaren incl. uitleg en scenario's rechtstreeks richting het hoofd van ING Ops&IT gestuurd. Daarin ook aangegeven dat dit ING reputatieschade oplevert en reeds klanten kost. Tevens liev verzocht om - indien wij het bij het verkeerde eind hebben (bijv door een gebrek aan informatie) - de klantenservice/woordvoering te verzoeken ons a.u.b. de juiste informatie en argumenten te verstrekken om ons daarvan te overtuigen, i.p.v. te reageren met standaard copy/paste mails.

Dat hoofd is op mij altijd overgekomen als een intelligente en redelijke man, dus wie weet...

HenkEisDS schreef op dinsdag 26 januari 2010 @ 20:50:
Er staat een reactie van ING zelf bij de comments op de FP.
Verwijderd in 'nieuws: Klanten kwetsbaar door nieuwe beveiliging Mijn ING - update'

M.a.w. het exacte probleem wordt exact bevestigd, maar afgedaan als "dit is makkelijker"

johncheese002 verwoordt het mooi op de frontpage:

Het is nooit in orde om wachtwoorden per sms te versturen!
Dit wachtwoord voor internetbankieren, heeft dezelfde functie/status als je pincode voor je bankpas, al hoef je daar geen username in te voeren.

* RemcoDelft is zo blij dat-ie nog steeds papieren TANcodes heeft!
Zodra ze me SMS-codes opdringen, ben ik weg bij de Postbank (en ja, zo blijf ik ze noemen), ondanks dat ik het verder altijd best een fijne bank vond.

RemcoDelft schreef op donderdag 28 januari 2010 @ 11:51:
* RemcoDelft is zo blij dat-ie nog steeds papieren TANcodes heeft!
Zodra ze me SMS-codes opdringen, ben ik weg bij de Postbank (en ja, zo blijf ik ze noemen), ondanks dat ik het verder altijd best een fijne bank vond.

Ik zou ook over kunnen stappen naar papieren TAN codes...het gaat me meer om hoe ze denken om te moeten gaan met de veiligheid van mijn rekening. En daar schrik ik behoorlijk van. Het lijkt me daarom (in het kader van de veiligheid van mijn geld) beter als ik bij de ING weg ga. Daarom ben ik aan het kijken hoe ik het makkelijkst en het soepelst over kan stappen zonder de overstap service te gebruiken. Misschien moet ik de Rabobank eens bellen...misschien willen ze wel een handje helpen.

[ Voor 8% gewijzigd door Scorpinus op 28-01-2010 12:01 ]

Scorpinus schreef op donderdag 28 januari 2010 @ 11:59:
[...]
Ik zou ook over kunnen stappen naar papieren TAN codes...

Nee dat kan dus niet. Alleen mensen die al papieren TAN codes hebben kunnen ze nog gebruiken. Bij een nieuwe rekening krijg je automatisch via SMS TAN codes, en terug stappen is ook niet mogelijk.

Scorpinus schreef op donderdag 28 januari 2010 @ 11:59:
[...]


Ik zou ook over kunnen stappen naar papieren TAN codes...

Zoals ik hierboven lees, is dat volgens de klantenservice niet meer mogelijk voor bestaande klanten, en ook niet voor nieuwe klanten. M.a.w. dat kan niet.

* RemcoDelft voelt zich spuit 11

[ Voor 6% gewijzigd door RemcoDelft op 28-01-2010 12:05 ]

RemcoDelft schreef op donderdag 28 januari 2010 @ 11:51:
M.a.w. het exacte probleem wordt exact bevestigd, maar afgedaan als "dit is makkelijker"

Inderdaad heel knullig om een hele berg veiligheid in te leveren om het een paar vergeetkoppen wat gemakkelijker te maken. En als het om kostenbesparing gaat is de oplossing simpel: laat de vergeter maar gewoon wat betalen voor het toesturen van een nieuw password. Als je een nieuwe pinpas toegestuurd moet krijgen kost dat ook gewoon geld, en daar zeurt men ook niet over.
Of maak alternatief een (spoed)procedure waarmee de vergeter een nieuw password dezelfde dag na identificatie fysiek kan afhalen bij een ING kantoor. Dat is ook vrij gemakkelijk te beveiligen, en vereist alleen een redelijk eenvoudig systeem voor het - na reset door user - snel kunnen verstrekken op ING kantoren, en kan ook als gratis dienst worden aangeboden.

* RemcoDelft is zo blij dat-ie nog steeds papieren TANcodes heeft!
Zodra ze me SMS-codes opdringen, ben ik weg bij de Postbank (en ja, zo blijf ik ze noemen), ondanks dat ik het verder altijd best een fijne bank vond.

Het TAN SMS systeem an sich is behoorlijk veilig. Iemand moet zowel je usename als password als je GSM hebben om geld te kunnen overboeken, en het systeem locked als je 3x een verkeerd wachtwoord ingeeft.

Die veiligheid is natuurlijk snel over als ING op hetzelfde toestel als waarmee de betaling geautoriseerd moet worden ook correcte wachtwoorden gaat aanleveren. Dat kan zelfs mijn neefje van 12 zonder probleem beargumenteren.

Woy schreef op donderdag 28 januari 2010 @ 12:03:
[...]

Nee dat kan dus niet. Alleen mensen die al papieren TAN codes hebben kunnen ze nog gebruiken. Bij een nieuwe rekening krijg je automatisch via SMS TAN codes, en terug stappen is ook niet mogelijk.

Ah...dat maakt de keuze alleen maar makkelijker natuurlijk.

Ik heb ook het "standaard" antwoord gekregen op mijn mail. Heb inmiddels een behoorlijke gepikeerde mail teruggestuurd dat ik zo'n mail niet al antwoord accepteer. Kijken of ik nog antwoord krijg.

Ik heb mijn beslissing al gemaakt. Zodra Triodos iDeal ondersteuning heeft gaat de ING de de deur uit. Ik ben bang dat al het e-mailen geen oplossing zal bieden. Waarschijnlijk gaan de e-mails rechtstreeks naar /dev/null.

Wat extra info uit de reactiemail die ik terugkreeg van de klantenservice:

1) Heraanvragen wachtwoord
Om de veiligheid te waarborgen vragen wij bij het heraanvragen van het wachtwoord via sms om de volgende gegevens: geboortedatum, rekeningnummer, pasnummer en expiratiedatum, gebruikersnaam, en uw mobiele telefoonnummer. Na uw aanvraag ontvangt u direct een sms met uw wachtwoord. Dit wachtwoord is 30 minuten geldig. Log daarom meteen in op Mijn ING met uw gebruikersnaam en het tijdelijke wachtwoord. Volg vervolgens de instructies op het scherm om het tijdelijke wachtwoord te wijzigen.
[...]
Na het invoeren van deze wijziging, is het niet langer mogelijk om een nieuw wachtwoord te ontvangen op de tot dan toe gebruikelijke manier.

<edit>spuit11, standaard copy/past van wat webcare eerder al gemeld had</edit>

Ergo:
1. Bij aanvragen nieuw password is invoeren username dus ook noodzakelijk. Een fractie veiliger, maar nog steeds wide open voor exploits als 'username guessing', ophalen uit cookie, of afkijken van scherm.
2. Opt-out voor deze wijziging - waar ik specifiek om vroeg - is (vooralsnog) niet mogelijk.
Nog steeds niet okay wat mij betreft.

[ Voor 3% gewijzigd door Cheetah op 28-01-2010 16:25 ]

Cheetah schreef op donderdag 28 januari 2010 @ 16:18:
Ergo:
1. Bij aanvragen nieuw password is invoeren username dus ook noodzakelijk. Een fractie veiliger, maar nog steeds wide open voor exploits als 'username guessing', ophalen uit cookie, of afkijken van scherm.

Dat voorkomt alleen dat iemand die je username NIET weet je password kan laten resetten. Voor fraudeurs maakt het niet uit, die moeten je username toch weten om te kunnen plunderen.

ING zou me bellen over m'n verstuurde klacht, durfden ze denk niet, want dit viel net in de bus:

Simpel antwoord, onzinnig antwoord, ze durfden zeker geen gesprek te voeren over deze onzin...

Grappig. Alinea's in deze brief komen letterlijk overeen met passages die ik tot nu toe heb mogen ontvangen in de mail.

CLB schreef op vrijdag 29 januari 2010 @ 13:03:
ING zou me bellen over m'n verstuurde klacht, durfden ze denk niet, want dit viel net in de bus:
[afbeelding]
Simpel antwoord, onzinnig antwoord, ze durfden zeker geen gesprek te voeren over deze onzin...

Weer komt het op het zelfde neer: "houdt uw gebruikersnaam geheim en bewaar deze niet in uw tas"

Ik dacht dat juist het password het geheime gedeelte was? Je laptop in je tas stoppen is vanaf nu dus niet meer toegestaan?

Ook ik heb ze gemailt:

Subject: Klacht Mijn ING_Nieuwe inlogcodes


Betaalrekening van de ING: Ja
Rekeningnummer van de ING: xxxxxxx
Geboortedatum
Aanhef : heer
Voorletters :
Naam :
Straat :
Huisnummer :
Huisnummer toevoeging :
Postcode :
Plaats : Leiden
Provincie:
Land :
Telefoonnummer : 0611111111
Alternatief telefoonnummer :
E-mailadres : sdfasdfasdf@gmail.com

Vraag : Ik hoop dat jullie het proces voor het wijzigen van wachtwoorden niet gaan veranderen. Ik gebruik ING juist door de mobiele tan-codes. Dat vervolgens een verloren/gewijzigd wachtwoord naar ditzelfde apparaat gestuurd wordt is een groot beveiligingslek waar ik me erg zorgen om maak.


Eerste antwoord:

Geachte heer Eisjedies,

Het resetten via sms is een veilige methode om een nieuw wachtwoord te ontvangen. Uw gebruikersnaam blijft namelijk strikt persoonlijk. Daarnaast moeten de Betaalpas gegevens gebruikt worden bij de reset.

Bij het aanvragen van een nieuw wachtwoord, ontvangt u deze altijd per SMS indien u uitsluitend het wachtwoord kwijt bent en gebruik maakt van TAN via mobiel. Uw gebruikersnaam ontvangt u altijd via het postkantoor. Indien u uw gebruikersnaam en wachtwoord kwijt bent, dan ontvangt u beide per post.

Mocht u nog vragen hebben, dan kunt u altijd contact met ons opnemen.

Met vriendelijke groet,
ING Klantenservice

Dhr. [NAAM]
Manager Verkoop en Service

De ING is continu bezig haar dienstverlening te verbeteren. Wij stellen uw mening daarom erg op prijs. Klik op onderstaande link om deel te nemen aan een korte enquete en help ons onze dienstverlening te verbeteren. Deze enquete wordt uitgevoerd door Synovate in opdracht van ING.


Tweede email dan maar:
Beste,

U stelt dat het resetten via sms een veilige methode is om een nieuw wachtwoord te ontvangen. U vergeet hier dat voorheen 2 authenticatiemethoden gebruikt werden: iets dat je weet en iets dat je hebt. Wikipedia: Authenticatie In de nieuwe valt iets dat je weet helemaal weg.

Ik maak me ook ernstig zorgen jullie nieuwe methode. Ik maak dankbaar gebruik van MijnING op mijn mobiel. Dat betekent dat mijn username automatisch wordt opgeslagen in mijn mobiele browser. Tan codes komen ook naar mijn mobiel. Dit was niet erg, want om in te loggen had je altijd nog een wachtwoord nodig. En als jullie die nu ook gaan versturen naar dezelfde mobiel dan heb je dus met mijn mobiel alles in handen om mijn rekening te plunderen.

Ik maak gebruik van twee privé rekeningen en één zakelijke rekening. Ik ben serieus aan het overwegen om naar een andere bank over te stappen als jullie niet afzien van jullie nieuwe authenticatiemethode.

Met vriendelijke groet,

HenkEisjedies


Is het geen idee om met zijn allen één standaardbrief op te stellen die we met zijn allen kunnen versturen?

HenkEisDS schreef op vrijdag 29 januari 2010 @ 14:06:
Is het geen idee om met zijn allen één standaardbrief op te stellen die we met zijn allen kunnen versturen?

Dan sturen ze ook gewoon een standaard brief terug. Ik ben ook nog steeds met ze aan het mailen, maar ik verwacht eigenlijk niet veel buiten de standaard antwoorden. Ik denk dat er ondertussen intern al wel een balletje is gaan rollen, en dat ze echt wel een her-overweging maken aan de hand van alle klachten die ze krijgen. Of daar dan een bevredigend besluit uit komt weet ik niet.

Alle communicatie is er gewoon op gericht om hun keuze te verantwoorden, en niet om de klanten tegemoet te komen. Op zich begrijpelijk, maar ik blijf de beslissing echt een grote WTF vinden.

Woy schreef op vrijdag 29 januari 2010 @ 14:19:
Alle communicatie is er gewoon op gericht om hun keuze te verantwoorden, en niet om de klanten tegemoet te komen. Op zich begrijpelijk, maar ik blijf de beslissing echt een grote WTF vinden.

Helemaal mee eens. Een standaardbrief gaat je hierbij niet helpen.
Ik verwacht dat het blussen wat ING nu doet wel redelijk werkt nog, maar deze in mijn ogen misstand rond 15 maart wel weer in het nieuws komt als het daadwerkelijk wordt ingevoerd en dat mogelijk rond die datum er wel meer aandacht voor komt ook in andere media (consumentenprogramma's bijv.).

Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Janoz schreef op vrijdag 29 januari 2010 @ 14:35:
Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Ja, dat zou ook mijn 'advies' zijn nu ik die lauwe reacties lees van ING. Bij Vara's Kassa hebben ze trouwens eerder aandacht besteed aan Postbank/ING en het internetbankierensysteem, dus dat lijkt me de meest logische consumenten belangenbehartiger voor dit issue.

En dan nog verwacht ik verder hetzelfde.

[ Voor 8% gewijzigd door gertvdijk op 29-01-2010 14:39 ]

Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

xtra schreef op vrijdag 29 januari 2010 @ 14:58:
Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

Wij zien gewoon zeer snel een groot beveiligingslek ontstaan. De gemiddelde telegraaflezer zal het een goede service vinden.

xtra schreef op vrijdag 29 januari 2010 @ 14:58:
Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

Ik denk ook dat het aan ons ligt, want ik had er ook al met de ING over gemaild. Hetzelfde antwoord, en nog erger: de mensen waarmee ik het er over gehad heb, wuiven het allemaal wel met de reden: dat gebeurt mij niet....

Wat ik veel in mijn omgeving tegenkom is 'Ach, zo'n grote bank. Die hebben daar vast wel goed over nagedacht'. Gelukkig ben ik al lang geen 16 meer en wordt mijn argumentatie binnen mijn kennissenkring wel serieus genomen.

Heb voor de zekerheid in elk geval maar overal het vinkje "bewaar m'n usernaam" weggehaald. Weet dat ie op m'n laptop dan nog in de cookie zit, maar op m'n iPhone verschijnt ie in elk geval niet meer. Anders was ik idd de sjaak geweest

Wat een zooitje zeg

Janoz schreef op vrijdag 29 januari 2010 @ 14:35:
Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Ik heb het als 'vraag' neergelegd bij de Consumentenbond, die gaven aan dat als hier voldoende meldingen over zouden binnenkomen, zij hier mogelijk een onderzoek naar zouden instellen. Ik zou dus leden van de Consumentenbond vooral willen oproepen om het ook even te melden via 070 - 445 45 45 (tijdens kantooruren, vandaag nog tot 17:30).

itsalwaysme schreef op vrijdag 29 januari 2010 @ 15:09:
[...]

Ik denk ook dat het aan ons ligt, want ik had er ook al met de ING over gemaild. Hetzelfde antwoord, en nog erger: de mensen waarmee ik het er over gehad heb, wuiven het allemaal wel met de reden: dat gebeurt mij niet....

Net als skimmen zeker

Anakha schreef op vrijdag 29 januari 2010 @ 16:34:
[...]
Ik heb het als 'vraag' neergelegd bij de Consumentenbond, die gaven aan dat als hier voldoende meldingen over zouden binnenkomen, zij hier mogelijk een onderzoek naar zouden instellen. Ik zou dus leden van de Consumentenbond vooral willen oproepen om het ook even te melden via 070 - 445 45 45 (tijdens kantooruren, vandaag nog tot 17:30).

Waarmee de Consumentenbond maar weer aangeeft een commercieel [i]bedrijf[i] te zijn. Als het ze werkelijk om de consumenten ging, zou de uitleg over de omvang van dit potentiele probleem toch ruim voldoende moeten zijn om hun volle aandacht te krijgen.

[ Voor 49% gewijzigd door RemcoDelft op 29-01-2010 16:52 ]

RemcoDelft schreef op vrijdag 29 januari 2010 @ 16:51:
Waarmee de Consumentenbond maar weer aangeeft een commercieel [i]bedrijf[i] te zijn. Als het ze werkelijk om de consumenten ging, zou de uitleg over de omvang van dit potentiele probleem toch ruim voldoende moeten zijn om hun volle aandacht te krijgen.

Ik heb zojuist een reactie terug gekregen met de bekende "antwoorden". Hier mijn tegenreactie:

Beste meneer ******,

Allereerst bedankt voor uw reactie.

Uw reactie stelt mij echter geenszins gerust. 30 minuten is voor een kwaadwillend persoon ruim voldoende om mijn geld over te maken naar een andere rekening. En daarbij is het maar zéér de vraag of ik binnen 30 minuten ontdek dat er ingebroken is in mijn huis, of op een andere manier spullen ontvreemd of verloren zijn.

Ook vind ik het een zeer kwalijke zaak, dat u blijkbaar meer belang hecht aan het geheim houden van de gebruikersnaam dan van het password. Ten eerste staat de gebruikersnaam bij het intypen open en bloot op het scherm, in tegenstelling tot het password. Ten tweede biedt uw website de mogelijkheid deze op te slaan, wat misbruik op deze manier natuurlijk wel érg makkelijk maakt.

Ook begrijp ik niet hoe dit systeem meer gebruiksvriendelijk moet zijn. In plaats van één geheime code te onthouden, moet ik er nu twéé onthouden, omdat de volledige beveiliging van mijn account nu afhangt van mijn gebruikersnaam. De kans dat ik iets vergeet is dus ineens dubbel zo groot.
U geeft aan dat wanneer mijn telefoon e.d. gestolen zijn, ik zo snel mogelijk de ING moet bellen om mijn pas te blokkeren. Dit geeft echter nóg meer ongemak. Want: ik zal eerst een telefoon moeten lenen om uberhaupt te kunnen bellen, vervolgens is mijn pas geblokkeerd, en zal ik dus ook geld moeten lenen om boodschappen te kunnen doen!

Maargoed, ik zal mijn gebruikersnaam veranderen naar een moeilijk te raden (en dus moeilijk te onthouden) code, en het vinkje om dit op te slaan uitzetten. Dit is blijkbaar de visie van ING op gebruiksvriendelijkheid.

Verder wil ik nog vragen of u iets wilt doen met mijn vraag over het contactformulier. Dat dit niet werkt bij gebruik van een andere browser dan Internet Explorer, of een ander besturingssysteem dan Microsoft Windows, is wel ernstig achterhaald en geeft mij ook niet bepaald vertrouwen in de kunde van uw IT-afdeling.

Groeten, David

Ik vraag mij echt af bij welk onderzoeksbureau ze de veiligheid hebben laten testen en volgens welk onderzoeksbureau het een goed idee is om de gebruikersnaam het geheime gedeelte van je login proces te maken in plaats van je wachtwoord. Dit zijn dan waarschijnlijk behoorlijk onkundige mensen op security gebied en ik zal ze dan ook niet inhuren.

Het komt er op neer dat je een gebruikersnaam moet gaan bedenken met hoofdletters, cijfers en leestekens in willekeurige volgorde om de taak van wachtwoord over te nemen. Je kan van je wachtwoord wel 1234 maken want het wachtwoord is totaal onbelangrijk geworden.

En waar zo'n username met letters en cijfers en leestekens, die je niet mag opschrijven, weer op neer komt is dat je het best eens zou kunnen vergeten.

En als je je supergeheime username vergeet, dan kun je een nieuwe aanvragen. En raad eens hoelang dat duurt? Weer 5 dagen!

Dus het enige klantvriendelijke voordeel, dat je snel nieuwe login gegevens kunt opvragen, is geheel niet bestaand.

Er moet dus iets anders spelen dan klantvriendelijkheid, een of andere rekensom met geld. Als klantvriendelijkheid het uitgangspunt was dan hadden ze die 5 dagen wel ingekort naar 1 dag en dit hele gedoe achterwege gelaten.

Ik heb ze het volgende scenario geschreven waarin duidelijk is hoe eenvoudig iemand je gebruikersnaam kan hebben:

Jullie zouden in moeten zien dat het eenvoudig is in het bezit te komen van iemands gebruikersnaam, bijvoorbeeld door deze af te lezen van het scherm als ik aan het inloggen ben. Dit kan bijvoorbeeld ook een collega zijn die ongemerkt heeft meegekeken. Heeft iemand eenmaal de gebruikersnaam ontdekt dan heeft hij alle tijd om een plan te beraden om mijn telefoon en portemonnee te jatten. Als hij deze heeft loopt diegene naar zijn auto en logt hij daar met zijn laptop in en verschaft zich toegang tot mijn rekening, door dus op dat moment ter plekke een nieuw wachtwoord aan te vragen met de gegevens uit mijn portemonnee. Voordat ik erachter kom dat mijn telefoon en portemonnee weg zijn en ik deze heb kunnen blokkeren is de dief natuurlijk al lang ingelogd en is mijn rekening leeg.

En dan nog krijg ik als standaard antwoord:

Voor de volledigheid: Bij het opvragen van een nieuw wachtwoord wordt niet alleen gevraagd naar de pasgegevens maar o.a. ook nog naar uw geboortedatum en gebruikersnaam. Met alleen de pas en de mobiele telefoon is dus nog steeds geen wachtwoord aan te vragen.

De ING heeft dus totaal geen besef over hoe eenvoudig het is om aan iemands gebruikersnaam te komen. Die staat bij iedereen in zijn cookie, en bij velen misschien ook wel in de telefoon met mobiel internet. Bovendien is een pasje met daarop je geboortedatum altijd in de buurt van je pinpas, dus dat bied ook 0 extra veiligheid.

De ING dwingt je dus tot het uitschakelen van de TAN functie en daarmee het gemak van aanvragen van TAN codes via je mobiel. En dan kom ik eigenlijk maar tot een conclusie:

• De ING ontneemt klanten die beveiliging belangrijk vinden een stukje klantvriendelijkheid om de klanten die te dom zijn om hun wachtwoord te onthouden extra klantvriendelijkheid te kunnen bieden.

[ Voor 10% gewijzigd door 2_05 op 30-01-2010 10:57 ]

Shit, heb ook een hypotheek bij de ING. Dus ik MOET een betaalrekening houden blijkbaar. Naja...maandag afspraak staan bij de Rabobank...dan maar zoveel mogelijk bij de ING weg trekken...

Voor de volledigheid: Bij het opvragen van een nieuw wachtwoord wordt niet alleen gevraagd naar de pasgegevens maar o.a. ook nog naar uw geboortedatum en gebruikersnaam. Met alleen de pas en de mobiele telefoon is dus nog steeds geen wachtwoord aan te vragen.

Hiermee gaat ING keer op keer voorbij aan het feit dat de fraudeur die het wachtwoord opvraagt, dat alleen doet als-ie de gebruikersnaam al weet. En de geboortedatum is een koud kunstje, genoeg mensen typen dat op meerdere plaatsen op internet gewoon in.

Wellicht kan ING toevoegen dat je na het aanvragen van je wachtwoord binnen 30 minuten 10 euro moet PINnen, voordat je je wachtwoord krijgt?
PINautomaten zijn overal te vinden, en op deze manier heb je in ieder geval de PINcode nodig.

ING moet een of andere kosten-baten afweging gemaakt hebben, dat valt af te leiden uit zinnen als "Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens." Wat zouden de beide kanten van deze afweging kunnen zijn?

Voordelen voor ING (i.e. levert geld op):
1) Het postkantoor is out-of-the-loop. Dit restant van het postbanktijdperk is waarschijnlijk een redelijke kostenpost. Ik denk dat dit het oorspronkelijke probleem is wat opgelost moest worden.
2) Er ligt nu meer verantwoordelijkheid bij de rekeninghouder. (username geheim houden enzo.) Hierdoor wordt het makkelijker om de rekeninghouder de schuld te geven als er gefraudeerd wordt. Volgens mij is dit slechts een handige bijkomstigheid.
3) Ze proberen het te verkopen als beter klantvriendelijkheid. Dit is slechts een marketing trucje, want het kan niet anders dan dat ze weten dat dat eigenlijk niet klopt.

Nadelen voor ING (kost hen geld):
1) Mensen die hun rekening opzeggen zoals wij. Die zijn slechts collateral damage, want zoveel mensen zullen dat niet doen.
2) Kans op publieke imago schending. Ik hoop dat ze dat onderschatten, maar ik vrees dat er na deze thread geen haan meer over kraait.

Om de imago schade te voorkomen zullen ze absoluut nooit toegeven dat het een klantonvriendelijker systeem is. Sterker nog, in alle antwoorden tot nu toe toont de ING alleen maar begrip voor de gevoelens voor de klant, maar nooit begrip voor het daadwerkelijke probleem wat de klant heeft. Dat geeft aan dat ze het wel degelijk snappen, maar er alleen omheen mogen lullen. Als ze vinden dat het vermeende probleem echt niet bestaat, dan zouden ze er inhoudelijk op reageren en daarmee de klant daadwerkelijk helpen.

[ Voor 6% gewijzigd door BlackShift op 30-01-2010 12:51 ]

Scorpinus schreef op zaterdag 30 januari 2010 @ 12:10:
Shit, heb ook een hypotheek bij de ING. Dus ik MOET een betaalrekening houden blijkbaar. Naja...maandag afspraak staan bij de Rabobank...dan maar zoveel mogelijk bij de ING weg trekken...

Volgens mij kun je ook gewoon die tan via sms uitschakelen

sewer schreef op zaterdag 30 januari 2010 @ 14:19:
[...]


Volgens mij kun je ook gewoon die tan via sms uitschakelen

Waarna je helemaal geen betalingen meer kunt doen.

Precies

Ok, je moet misschien van te voren ergens aangeven dat je een tan-overzicht op papier wilt

Even een oud bericht van 21 oktober 2008, de Postbank probeerde toen veel klanten over te krijgen op de SMS manier van betalen. Grappige aan het artikel is de op één na laatste opmerking (dikgedrukt) over een huis met 4 sloten vs een huis met 2 sloten.

Geeft toch te denken dat met deze nieuwe manier van opvragen er weer een slot wordt weggegooid, namelijk het per post / identificatie aan de balie slot...om met de woorden van de heer Reusken te spreken.

Zijn er al mensen die hebben gevraagd aan de klantenservice of ze terug konden naar de papieren TAN variant? Dat het niet mogelijk is via de webinterface is op zich begrijpelijk, maar er is wellicht nog een achterdeurtje als je maar hoog genoeg schopt?

Klanten boos op Postbank
Tot woede van nogal wat rekeninghouders wil de Postbank af van het internetbankieren met papieren bevestigingscodes. Als het aan de bank ligt, ontvangen alle klanten de codes voortaan per sms op hun mobiele telefoon.
Van de 3,5 miljoen rekeninghouders werken nog circa 1,5 miljoen klanten met vooraf ontvangen codelijsten. Bij elke overboeking moeten zij ter bevestiging een zogenaamde TAN-code invoeren. De andere 2 miljoen Postbank-klanten ontvangen een smsje. Een veiliger systeem, vindt de bank: de lijst kan worden gestolen, terwijl de mobiele-code pas bij betaling wordt aangemaakt. In een brief vraagt de Postbank klanten 'nadrukkelijk' de codes voortaan via de gsm te ontvangen.

Gedwongen splitsing
Ook dwingt de Postbank ondernemers en zelfstandigen hun rekening te splitsen in een zakelijk en een particulier deel. Zij behouden de bedrijfsrekening, maar moeten opnieuw een privé-betaalrekening aanvragen. Voor de zakelijke rekening mogen ze de papieren lijst blijven gebruiken, internetbankieren per betaalrekening kan alleen met sms.

Nogal wat klanten reageren geïrriteerd. Op consumentenfora zeggen zij geen prijs te stellen op de gsm. ,,Ik wil gewoon een papieren lijst, geen gedoe met een mobiel om mij moverende redenen", zegt E.K Verhagen. ,,En zoiets beslis ik heel graag zelf." Anderen vinden dat de Postbank het mobieltje opdringt. ,,Keuze tussen de lijst of gsm is er niet. En dat terwijl de Postbank een dienstverlenende functie heeft."

Postbank: 'misverstand'
Volgens Harold Reusken van de Postbank is er sprake van een misverstand. De papieren lijst wordt voorlopig niet afgeschaft, bestaande rekeninghouders kunnen deze gewoon blijven ontvangen. ,,De ontkoppeling is slechts bedoeld om de Postbank met ING te integreren. Klanten die ook voor hun particuliere rekening de lijst willen houden, kunnen zich melden bij ons."

De Postbank zegt voor het veiligste systeem te kiezen. Wat volgens de bank niet betekent dat de oude papieren lijst onveilig is. ,,Het oude systeem voldoet aan alle eisen van de DNB," aldus Reusken. ,,Een huis met vier sloten is veiliger dan een met twee." Bovendien zou het systeem gemakkelijker zijn. ,,Mensen dragen hun mobieltje overal bij zich en kunnen overal betalen."