[Risico] Aanpassing wachtwoord-retrieval MijnING.nl

zaterdag 30 januari 2010 15:37

Acties:

0 Henk 'm!

Geachte heer HenkEisjedies,

Wanneer u een nieuw wachtwoord wilt aanvragen dan zijn hiervoor de volgende gegevens nodig:

- uw gebruikersnaam
- het pasnummer van uw Betaalpas
- de vervaldatum van uw Betaalpas
- uw mobiele telefoonnummer
- uw geboortedatum

Wij adviseren u bij gebruik van Mijn ING op uw telefoon de gebruikersnaam niet op te slaan. Op dat moment zijn naast uw pasgegevens ook uw gebruikersnaam en geboortedatum niet bekend bij de persoon die uw telefoon in zijn/haar bezit heeft.

Met vriendelijke groet,
ING Klantenservice

Dhr. [naam]
Manager Verkoop en Service

Ik moet zeggen dat dit een antwoord is waar ik wat mee kan. uw gebruikersnaam. Pasnummer, vervaldatum, mobiele telefoonnummer en geboortedatum klinkt al een stuk beter dan 'sms met wachtwoord'. Nog steeds niet zo veilig als jezelf legitimeren op het postkantoor. Net zo onveilig als per post opsturen denk ik. Post kan je net als een mobiele telefoon onderscheppen.

zaterdag 30 januari 2010 15:45

Acties:

0 Henk 'm!

CLB

Dit is toch niet veilig zeg.. Binnen 1 seconde te achterhalen, de rest staat op je pinpas..

Asus ZenBook BX410UA-GV182R: 14,0" 1920x1080 mat IPS/ Intel HD 620 / Intel Core i5-7200U 3,1GHz/ 8192MB 2133MHz RAM
512GB SSD + 2TB HDD/ Backlight keyboard, BlueTooth, Wi-Fi AC, HDMI, USB 2.0, USB 3.0, USB C, Cardreader / Windows 10 Pro 64 bit

zaterdag 30 januari 2010 15:48

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Er is een heel groot verschil tussen de wachtwoord via sms en wachtwoord via de post. De variant van de post heeft namelijk een langere doorlooptijd. Zodra je de gebruikersnaam, portemonee en telefoon van je slachtoffer hebt ben je binnen 10 minuten volledig klaar. Wanneer het wachtwoord via de post wordt verstuurd ben je meer dan een dag bezig. Niet alleen is dat dus een stuk lastiger, maar de kans dat het slachtoffer bemerkt heeft dat hij bestolen is is dan veel groter.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

zondag 31 januari 2010 01:32

Acties:

0 Henk 'm!

Cheetah

Try to live without WWW ;)

Ik ben nou echt klaar met die klantenservice.
<hier stond een mailwisseling die wellicht niet relevant meer is>
Heb een reactie van hoger management, dat aangeeft er nog eens serieus naar te gaan (laten) kijken, en er daarna op terug te komen, eventueel voor meer informatie.

[ Voor 110% gewijzigd door Cheetah op 31-01-2010 10:25 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

zondag 31 januari 2010 07:39

Acties:

0 Henk 'm!

Liegebeest

@ Cheetah:
Nog antwoord terug gehad van De Steve^(tm)?

[ Voor 7% gewijzigd door Liegebeest op 31-01-2010 07:39 ]

Liege, liege, liegebeest!

zondag 31 januari 2010 11:45

Acties:

0 Henk 'm!

Cheetah

Try to live without WWW ;)

@Cailin, jup, er gaat naar gekeken worden, en terugkoppeling volgt nog

Heb ook onder de aandacht gebracht dat velen (waaronder ikzelf) not amused zijn van de 'antwoorden' die ze van de klantenservice krijgen. Ik ben benieuwd...

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

zondag 31 januari 2010 11:51

Acties:

0 Henk 'm!

Cheetah

Try to live without WWW ;)

.
Hier stond een veels te gemakkelijke 'kind kan de was doen' exploit in reactie op de post van Janoz.
Bij nader inzien misschien beter om die niet publiek op 't forum te zetten

[ Voor 108% gewijzigd door Cheetah op 31-01-2010 12:03 ]

ASUS Max IV GENE-Z, Core i7 3770k, 16GB Kingston HyperX DDR3-1600, EVGA GTX970 FTW
Crucial M550 512GB SSD, 2TB WD HDD, LG GGW-H20L Blu/HD, Panasonic 40" AX630 UHD
Full Specz

zondag 31 januari 2010 21:32

Acties:

0 Henk 'm!

BlackShift

Een belangrijk verschil tussen een username en een password is dat een username uniek moet zijn. Daardoor zijn ze veel makkelijker te achterhalen.

Een voorbeeld: Als boef bemachtig je een jaarboek van een lokale sport- of studentenvereniging, met fotos, geboortedatums, adressen etc. Vervolgens ga je op mijn ing je eigen username veranderen in voorletter-achternaam (en variaties) van al die leden. Als je dan een usernaam vind waar je niet naar toe mag veranderen (en het is ook nog eens een vrij weinig voorkomende naam) dan heb je een aardige kans dat weet je bij wie die hoort. Dan hoef je nog alleen maar die persoon te vinden en telefoon + pinpas te stelen, niet zo moeilijk als ze op het sportveld staan ofzoiets.

Ik geef toe, een beetje ver gezocht voorbeeld, maar niet ondenkbaar. Natuurlijk zou je dat ook niet moeten doen met je eigen account, maar met eentje die je al eerder op een andere manier van iemand overgenomen hebt. Dan zou je deze techniek zonder risico kunnen proberen.

Heeft denk ik meer kans van slagen dan willekeurig pinpassen stelen en dan hopen dat je de username gokt.

(Disclaimer: het is natuurlijk niet de bedoeling dat een van jullie dit daadwerkelijk gaat doen! Maakt voor mij overigens niet meer uit, heb het overstapformulier voor de triodos al ingevuld.)

maandag 1 februari 2010 10:48

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

Cheetah schreef op zondag 31 januari 2010 @ 11:45:
@Cailin, jup, er gaat naar gekeken worden, en terugkoppeling volgt nog
Heb ook onder de aandacht gebracht dat velen (waaronder ikzelf) not amused zijn van de 'antwoorden' die ze van de klantenservice krijgen. Ik ben benieuwd...

Hey, da's goed nieuws!
Ben benieuwd wat eruit komt.

"The computer is incredibly fast, accurate, and stupid. Man is unbelievably slow, inaccurate, and brilliant. The marriage of the two is a challenge and opportunity beyond imagination." © Stuart G. Walesh

woensdag 3 februari 2010 15:46

Acties:

0 Henk 'm!

Scorpinus

J2pc schreef op maandag 01 februari 2010 @ 10:48:
[...]

Hey, da's goed nieuws!
Ben benieuwd wat eruit komt.

Tot op heden blijkbaar nog vrij weinig.

Ik zelf ben nu over naar de Rabobank. Laat mijn betaalrekening staan voor mijn hypotheek, maar daar gaat niet meer geld naar toe dan nodig.

Who is General Failure and why is he reading my disk?

vrijdag 12 februari 2010 13:10

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.

Het is niet mogelijk u de contactgegevens te geven van de toezichthouders. Wel hebben wij onderstaande informatie voor u.

De afgelopen jaren is gebleken dat veel klanten de huidige procedure voor het heraanvragen van het wachtwoord als onprettig ervaren. Als gevolg hiervan heeft de ING gezocht naar een meer klantvriendelijke oplossing. Hierbij heeft de ING een afweging gemaakt tussen veiligheid en gebruiksgemak.

Er is een oplossing gevonden waarbij het gebruiksgemak sterk is verbeterd en de veiligheid naar onze mening gewaarborgd blijft. De nieuwe procedure voldoet bovendien aan de richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Ook heeft ING een team van veiligheidsexperts in huis die zich dagelijks bezig houdt met de veiligheid van internetbankieren en voortdurend aanpassingen doet aan onze systemen. Natuurlijk volgen we alle ontwikkelingen met betrekking tot de veiligheid van internet en mobiele telefonie nauwlettend en blijven continue investeren in de veiligheid.

U als klant kunt ook zelf maatregelen treffen om veilig te bankieren. Tip die ING aan klanten geeft is om een gebruikersnaam en wachtwoord te kiezen die minder voor de hand liggen. Ook moet je deze inlogcodes nooit met andere delen. Als u de gebruikersnaam voor Mijn ING wilt bewaren, raden we aan dit alleen te doen op uw eigen computer.

Wij vertrouwen erop dat mensen zorgvuldig omgaan met persoonlijke bezittingen, zoals de Betaalpas, identiteitsbewijzen en de mobiele telefoon.

Om misbruik te kunnen maken van Mijn ING heeft iemand uw gebruikersnaam, geboortedatum, mobiele telefoon, Betaalpas en vervaldatum gelijktijdig nodig.
Mocht onverhoopt een dergelijke situatie zich toch voordoen, dan is het van belang dat u zo snel mogelijk contact opneemt met de Alarmlijn. Uw account van Mijn ING wordt in dat geval direct geblokkeerd. U kunt de Alarmlijn 24 uur per dag bereiken via 058 212 6000.

Wij willen tot slot benadrukken dat we de mogelijkheid van het frauduleus aanvragen van een wachtwoord via SMS zeer onwaarschijnlijk achten. Het nieuwe proces waarbij je per sms een nieuw wachtwoord kan opvragen is een veilig proces. Veiligheidsexperts van ING hebben hier uitvoerig onderzoek naar gedaan.

Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

vrijdag 12 februari 2010 13:20

Acties:

0 Henk 'm!

iisschots

Ik neem aan dat DNB (De Nederlandse Bank) hier over gaat. Wellicht is het een idee om een brief naar hen op te stellen en deze met meerdere als privepersoon te ondertekenen? Of dat meerdere personen dezelfde brief sturen?

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

vrijdag 12 februari 2010 13:29

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

DNB gaat vooral over liquiditeit en goed bestuur, niet over specifieke voorwaarden van diensten.

Overigens zijn banken vrij om te bepalen welke diensten zij aanbieden en onder welke voorwaarden. DNB gaat niet over de voorwaarden die banken opstellen voor hun producten of diensten.

Ik denk dus niet dat DNB weinig kan zeggen over brakheid van security.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

vrijdag 12 februari 2010 13:31

Acties:

0 Henk 'm!

Woy

Moderator Devschuur®

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.

[...]

Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ik heb inderdaad, op de eerste alinea na, exact dezelfde mail ontvangen. Toch apart dat het 2 weken moet duren om een standaard mail te versturen.

Ik heb mijn keuze in ieder geval gemaakt. Ik ga overstappen naar een andere bank, nu alleen nog uitzoeken naar welke. Als dit de manier is waarop ze met gegronde klachten omgaan, dan is het niet het bedrijf waar ik mijn geld wil hebben staan.

[ Voor 6% gewijzigd door Woy op 12-02-2010 13:32 ]

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

vrijdag 12 februari 2010 13:33

Acties:

0 Henk 'm!

Hertog

Aut bibat, aut abeat

Janoz schreef op vrijdag 12 februari 2010 @ 13:29:
DNB gaat vooral over liquiditeit en goed bestuur, niet over specifieke voorwaarden van diensten.

[...]

Ik denk dus niet dat DNB weinig kan zeggen over brakheid van security.

Volgens hun eigen site (http://www.dnb.nl/over-dnb/taken/index.jsp)

Een stabiel financieel stelsel is sterk afhankelijk van een veilig en betrouwbaar betalingsverkeer. Iedereen moet probleemloos kunnen betalen met munten en bankbiljetten, maar ook met zijn chipknip, pinpas en creditcard, of via het internet. En de miljoenen transacties die banken dagelijks uitvoeren, moeten veilig en zonder storingen verlopen.

Veiligheid aankaarten zou dus zeker kunnen helpen.

"Pray, v. To ask that the laws of the universe be annulled in behalf of a single petitioner, confessedly unworthy." --Ambrose Bierce, The Devil's Dictionary

vrijdag 12 februari 2010 15:46

Acties:

0 Henk 'm!

mcDavid

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.

[...]

Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ik heb inderdaad exact het zelfde mailtje gekregen. Met mijn naam verkeerd gespeld erboven. Lekker dan!

vrijdag 12 februari 2010 15:55

Acties:

0 Henk 'm!

RemcoDelft

Er is een oplossing gevonden waarbij het gebruiksgemak sterk is verbeterd en de veiligheid naar onze mening gewaarborgd blijft.

Ze dekken zich lekker in... Het Tweakers nieuwsbericht had al een beveiligings-expert gevonden die daar heel anders over dacht...

Wij willen tot slot benadrukken dat we de mogelijkheid van het frauduleus aanvragen van een wachtwoord via SMS zeer onwaarschijnlijk achten.

Nogal een aanname! 10 jaar geleden vonden ze grootschalige skimming vast ook onwaarschijnlijk.

Het nieuwe proces waarbij je per sms een nieuw wachtwoord kan opvragen is een veilig proces. Veiligheidsexperts van ING hebben hier uitvoerig onderzoek naar gedaan.

Ik zie nog 3 2 mogelijkheden:
-ING wil kosten besparen en liegt glashard
-Het management van ING heeft geen flauw benul waar dit hele onderwerp over gaat
-De "experts" bij ING lopen de kantjes er vanaf

@Hieronder:

J2pc schreef op vrijdag 12 februari 2010 @ 15:57:
[...]
Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

Zo had ik het niet opgevat, maar inderdaad, het staat er wel zo! En daaruit leid ik dan maar af dat de experts het er niet mee eens zijn.

[ Voor 71% gewijzigd door RemcoDelft op 12-02-2010 16:00 ]

vrijdag 12 februari 2010 15:57

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.

[...]

Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

via-via weet ik dat dit een business keuze is waarin het security team niet gekend is, en dat er bij het internet security team zeker twijfels zijn over deze nieuwe aanpak.

vrijdag 12 februari 2010 16:29

Acties:

0 Henk 'm!

Brons

Fail!

J2pc schreef op vrijdag 12 februari 2010 @ 15:57:
[...]

Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

via-via weet ik dat dit een business keuze is waarin het security team niet gekend is, en dat er bij het internet security team zeker twijfels zijn over deze nieuwe aanpak.

Goed om te horen. Laten wij hopen dat de beveiligingsmensen zich hebben ingedekt en dat ING keihard op z'n muil gaat.

zaterdag 13 februari 2010 08:51

Acties:

0 Henk 'm!

2_05

mcDavid schreef op vrijdag 12 februari 2010 @ 15:46:
[...]
Ik heb inderdaad exact het zelfde mailtje gekregen. Met mijn naam verkeerd gespeld erboven. Lekker dan!

Ja hoor, ik ook precies dezelfde reactie. Maar dan een eerste alinea waarin ze toegeven dat het een standaard antwoord is:

Wij zien dat u inderdaad de tijd genomen heeft om uw bezwaren tegen de nieuwe methode te beargumenteren. De ING heeft ervoor gekozen om in haar reactie in zijn algemeenheid toe te lichten waarom de nieuwe procedure wordt ingevoerd en aan te geven waarom deze betrouwbaar is.

Ofwel, we sturen gewoon weer lekker simpel een algemene reactie en gaan niet in op de zwakheden die u in de beveiliging signaleert.

donderdag 18 februari 2010 11:11

Acties:

0 Henk 'm!

ignitem

Gegevens als bankpasnummer, vervaldatum, geboortedatum, bankrekeningnummer, mobielnummer stellen niet zoveel voor. Een kopie bankpas moet je bij de aanvraag van een mobiel abonnement, een lening, het huren van een auto, de personeelsadministratie ook overhandigen. Of het moet zijn dat je iedere individuele medewerker van de Phone House, Hertz en de Mediamarkt vertrouwt?

Blijft enkel de gebruikersnaam over die nu moet gaan fungeren als een soort wachtwoord. Een beetje social enginering kan hier helpen. En met de op handen zijnde gecomprimeerde beveiliging van de A5/1-encryptie (GSM) is het plaatje compleet. En hebben ze niet eens meer fysiek je mobiel nodig.

En mocht het fout gaan dan is er één geruststelling. Jij als klant mag gaan bewijzen dat je het niet jouw fout is, want anders wordt er niets vergoed. Dit komt dan nog bovenop de papierwinkel en wekenlang geen toegang tot je geld (dat er niet meer is).

donderdag 18 februari 2010 15:18

Acties:

0 Henk 'm!

Liegebeest

Leuk als je je telefoon inlevert voor reparatie, zonder de cookies van Mijn ING te wissen

Liege, liege, liegebeest!

woensdag 24 februari 2010 16:32

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Eindelijk weer een reactie van de klantenservice. Ze weigeren gewoon in te gaan op mijn vragen.

Geachte heer De Vries,

Onze excuses voor de vertraagde beantwoording van uw e-mail.

Wij gaan niet op de door u geschetste scenario's in. In onze beantwoording van onze vorige e-mails hebben wij u zo duidelijk mogelijk geinformeerd over de gang van zaken omtrent het wijzigen van de procedure. Wij vragen hiervoor uw begrip.

Met vriendelijke groet,
ING Klantenservice

Ja hallo. De procedure was me vanaf het begin al duidelijk. Sterker nog, de procedure is mij duidelijker dan dat het bij hun is aangezien ik blijkbaar wel de flaws in hun redenatie zie en zij zelf niet.

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

woensdag 24 februari 2010 20:45

Acties:

0 Henk 'm!

Anakha

Ik heb ze vorige week uiteindelijk maar laten weten dat ze al mijn ING-producten inderdaad per ingangsdatum van de wijziging mogen stopzetten, aangezien ze blijkbaar niet in staat zijn om op een fatsoenlijke manier met klachten om te gaan. Ik heb al mijn bankzaken inmiddels verhuisd.

donderdag 25 februari 2010 00:27

Acties:

0 Henk 'm!

ignitem

Anakha schreef op woensdag 24 februari 2010 @ 20:45:
Ik heb al mijn bankzaken inmiddels verhuisd.

Ik heb ook al een nieuwe bankrekening aangevraagd. Helaas duurt het nog even, voordat ik alle instanties e.d. heb ingelicht, want anders was mijn ING rekening ook al opgezegd.

Een bank die zo pruts met beveiliging is mijn geld niet waard!

donderdag 25 februari 2010 11:20

Acties:

0 Henk 'm!

BlackShift

De officiele houding van de ING lijkt te zijn dat je een ultra geheime gebruikersnaam moet kiezen die je niet mag opschrijven. Dat is nogal een verandering voor de klant die ze nauwlijks hebben gecommuniceerd. Ik heb daar in ieder geval geen officieel bericht over gehad.

Mensen hier zijn slim genoeg om hun username te veranderen omdat ze deze thread hebben gelezen, maar de rest van de klanten? Zelfs als ze het aan de klanten vertellen, zal het weken duren voordat ze allemaal hun username veranderd hebben. (En zelfs dan zijn er nog genoeg manieren om daar misbruik van te maken.)

Ik ben benieuwd hoeveel klachten er gaan komen als mensen te horen krijgen dat ze naar hun geld kunnen fluiten omdat ze hun naam als username hadden, terwijl ze helemaal niet wisten dat dat niet mocht.

("Tja, moet u maar niet zo dom zijn meneer. Iedereen weet toch dat gebruikersnamen geheim zijn!
En uw portemonnee en telefoon ook nog in dezelfde jas, dan vraagt u erom bestolen te worden! Eigen schuld dikke bult, sliep-uit! Wat wilt u nou van ons? Dat wij goed op uw geld passen? Wat zeg ik, 'uw geld'? Mwuhahahahahaha. Enne, de woning waar u nu in woont, is dat een huur of een koopwoning? U bent vast dom genoeg om ook nog even over de telefoon een hypotheek af te sluiten. Met rentepunten hoor!")

(Overigens type ik steeds per ongeluk 'wachtwoord' ipv 'username', ik vraag me af hoe dat komt....)

donderdag 25 februari 2010 11:36

Acties:

0 Henk 'm!

BlackShift

Janoz schreef op vrijdag 12 februari 2010 @ 13:29:
DNB gaat vooral over liquiditeit en goed bestuur, niet over specifieke voorwaarden van diensten.

[...]

Ik denk dus niet dat DNB weinig kan zeggen over brakheid van security.

Wat de ING mij stuurde toen ik om die richtlijnen vroeg:

Zoals wij in onze voorgaande e-mail hebben vermeldt, voldoet de ING hiermee aan de richtlijnen die door toezichthouders zijn opgesteld ten aanzien van internetbankieren. Op dit moment kunnen wij u deze richtlijnen (nog) niet verstrekken.

M.a.w., die bestaan helemaal niet.

"Wij doen alles volgens afspraak, maar u mag niet weten welke afspraken dit zijn."
"Het systeem is veilig, maar wij vertellen niet hoe we de door u aangekaarte risicos ondervangen."
"We hebben een team van beveiligingsexperts geraadpleegt, maar het is geheim wat die ervan vonden."
"Klanten willen deze verandering zelf, maar we hebben niemand die u kent daar over gevraagd."
"U moet vertrouwen op de veiligheid van ons systeem, maar wij vertrouwen u niet als u misbruikt doorgeeft."
"Klantvriendelijkheid staat bij ons voorop, wat alleen betekent dat we alle bovenstaande zinnetjes weten om te buigen zodat het woordje 'maar' er niet meer in voorkomt."
m.a.w.: "IGNORANCE IS STRENGTH"

[ Voor 0% gewijzigd door BlackShift op 25-02-2010 11:37 . Reden: gramatica ]

donderdag 25 februari 2010 11:55

Acties:

0 Henk 'm!

BlackShift

ignitem schreef op donderdag 18 februari 2010 @ 11:11:
En met de op handen zijnde gecomprimeerde beveiliging van de A5/1-encryptie (GSM) is het plaatje compleet. En hebben ze niet eens meer fysiek je mobiel nodig.

Dat was mij niet zo heel duidelijk. Ik dacht dat dat alleen ging over de communicatie tussen toestel en zendmast en dat de authenticatie van de sim anders gaat. Dat het kraken dus alleen maar helpt met het afluisteren niet bij het klonen van een sim, of wel? En UMTS zou nog veilig moeten zijn toch? Hmm je zou natuurlijk gewoon naast iemands huis kunnen staan, UMTS jammen en GSM verkeer afluisteren.

Eigenlijk maakt dat helemaal niet uit, misschien komt daar later wel een goede hack voor. Het hele punt is dat er effectief van een 2 factor authenticatie naar een 1 factor authenticatie is over gegaan. (Dat ze nu onze gebruikersnamen als wachtwoorden beschouwen is daar dan weer een perverse oplossing voor.)

donderdag 25 februari 2010 12:59

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

Heeft iemand eigenlijk radar / kassa al getipt?

Door de 'kwalitatief uitermatende teleurstellende' houding ten opzichte van kritische consumenten vindt ik dat eigenlijk wel gerechtvaardigd...

donderdag 25 februari 2010 23:36

Acties:

0 Henk 'm!

ignitem

BlackShift schreef op donderdag 25 februari 2010 @ 11:55:
[...]
Dat was mij niet zo heel duidelijk. Ik dacht dat dat alleen ging over de communicatie tussen toestel en zendmast en dat de authenticatie van de sim anders gaat.

Je hebt gelijk; het gaat in eerste instantie over het afluisteren van verkeer (zowel spraak, sms als data). Het algoritme voor authenticatie A3 is gebaseerd op hetzelfde principe en in oudere varianten zijn zwakheden gevonden. Een bruikbare exploit zou overigens het hele TAN authenticatie per SMS principe ondermijnen.

Neemt inderdaad niet weg dat we nu van 2-weg authenticatie naar praktisch 1-weg authenticatie gaan.

vrijdag 26 februari 2010 00:12

Acties:

0 Henk 'm!

2_05

Ik heb weer een nieuwe reactie ontvangen. Samengevat stond er:

Dat er idd scenario's denkbaar zijn waarin misbruik mogelijk is maar dat dat ook bij de pinpas icm pincode het geval is, als antwoordt op door mij genoemde scenarios
Maar je pincode wordt niet op je scherm weergegeven en is niet per SMS aan te vragen....
Hoe TAN code werkt
Wist ik al, terwijl mijn vraag is waarom wachtwoord aanvragen via sms niet uitgeschakeld kan worden, los van betalen via SMS nog steeds onbeantwoord is.
Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
Heb je concreet dus ook niet erg veel aan.

Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

vrijdag 26 februari 2010 00:25

Acties:

0 Henk 'm!

ignitem

2_05 schreef op vrijdag 26 februari 2010 @ 00:12:
• Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
Heb je concreet dus ook niet erg veel aan.

Feitelijk staat er dus dat je als klant mag opdraaien voor de kosten (lees: verlies eigen geld) bij misbruik van de door hun verzwakte beveiliging. Mooie bank is de ING toch

Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

Dit is ook alles wat ik gevraagd heb, maar je zou een klant toch eens gelijk geven ....

vrijdag 26 februari 2010 09:08

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

ignitem schreef op vrijdag 26 februari 2010 @ 00:25:
[...]

Feitelijk staat er dus dat je als klant mag opdraaien voor de kosten (lees: verlies eigen geld) bij misbruik van de door hun verzwakte beveiliging. Mooie bank is de ING toch

[...]

Dit is ook alles wat ik gevraagd heb, maar je zou een klant toch eens gelijk geven ....

Eens, ik wil opt-outen!

Ik heb geen problemen om m'n wachtwoord te onthouden, en anders accepteer ik dat ik een paar dagen moet wachten.

vrijdag 26 februari 2010 09:54

Acties:

0 Henk 'm!

Rukapul

2_05 schreef op vrijdag 26 februari 2010 @ 00:12:
Ik heb weer een nieuwe reactie ontvangen. Samengevat stond er:
Dat er idd scenario's denkbaar zijn waarin misbruik mogelijk is maar dat dat ook bij de pinpas icm pincode het geval is, als antwoordt op door mij genoemde scenarios
Maar je pincode wordt niet op je scherm weergegeven en is niet per SMS aan te vragen....
Hoe TAN code werkt
Wist ik al, terwijl mijn vraag is waarom wachtwoord aanvragen via sms niet uitgeschakeld kan worden, los van betalen via SMS nog steeds onbeantwoord is.
Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
Heb je concreet dus ook niet erg veel aan.
Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

Zou je een kopie van de reactie integraal hier willen plaatsen?

vrijdag 26 februari 2010 10:04

Acties:

0 Henk 'm!

Janoz

Moderator Devschuur®

!litemod

Ikzelf kreeg hetvolgende (dus weer een copypaste verhaaltje)

Geachte heer De Vries,

Wij begrijpen dat u bezorgd bent over de wijzigingen bij Mijn ING. Er zijn inderdaad situaties denkbaar waarbij er misbruik kan worden gemaakt van uw gegevens. Bij elke vorm van beveiliging is er een balans tussen gebruiksgemak en veiligheid. Dit is bijvoorbeeld ook het geval bij de Betaalpas in combinatie met de PIN-code. Ook bij het systeem van de Betaalpas zijn situaties denkbaar waarin er misbruik kan worden gemaakt.

Zoals wij eerder aangaven heeft de ING bij het wijzigen van de procedure ook een afweging gemaakt tussen veiligheid en gebruiksgemak. De ING is van mening dat de veiligheid door de wijziging niet in het geding is.

De kans dat een eventuele fraudeur over alle gegevens beschikt is klein.

Op voorhand kunnen wij geen toezeggingen doen met betrekking tot specifieke gevallen. Wel zijn er een aantal voorwaarden zijn waaraan u moet voldoen met betrekking tot de veiligheid in Mijn ING. Deze zijn beschreven in de voorwaarden van Mijn ING. Mocht u vermoeden dat er sprake is van fraude, dan moet u dit zo snel mogelijk melden. Na de melding wordt er een onderzoek gestart. Aan de hand van een onderzoek wordt dan per geval bekeken of u schadeloos wordt gesteld.

Met vriendelijke groet,
ING Klantenservice

Dhr. *********
Manager Verkoop en Service

waarop ik gereageerd heb met:

Het grote verschil is dat iedereen weet dat de pincode persoonlijk is
en dat er druk gecommuniceerd wordt dat je pincode prive is. Jullie
nieuwe internetbankieren is afhankelijk van het geheim zijn van de
_gebruikersnaam_! Jullie bieden notabene zelf aan om die voor de
gebruiker te onthouden. De nieuwe beveiliging is dus eerder te
vergelijken met een pintransactie waarbij de pincode keurig mee te
lezen is en aan het einde ook nog eens wordt gevraagd of de pincode
misschien onthouden moet worden.

[ Voor 0% gewijzigd door iisschots op 28-02-2010 11:06 ]

Ken Thompson's famous line from V6 UNIX is equaly applicable to this post:
'You are not expected to understand this'

vrijdag 26 februari 2010 11:10

Acties:

0 Henk 'm!

xtra

Grappig. In mijn antwoord:

De ING biedt u een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Volgens mij is de DNB de belangrijkste toezichthouder:

Vraag
Welke regels zijn er ten aanzien van internetbankieren?

Antwoord
De Nederlandse Bank stelt geen specifieke richtlijnen ten aanzien van internetbankieren. Wel kan in zijn algemeenheid worden opgemerkt dat de Wet toezicht kredietwezen 1992 en de ´Regeling Organisatie en Beheersing´ algemene kaders geven waaraan banken moeten voldoen. Hiermee worden overigens geen detailvoorschriften voor internetbankieren gegeven, hoewel de aanpak en beheersing van internetbankieren te allen tijde aan de algemene wetten en regelgeving dienen te voldoen.

Vaak zijn bij het afnemen van een dienst of product zowel algemene als specifieke productvoorwaarden van toepassing. Banken dienen klanten te informeren over de randvoorwaarden van een bepaald product.

Zijn er nog meer toezichthouders met/zonder richtlijnen?

vrijdag 26 februari 2010 11:17

Acties:

0 Henk 'm!

J2pc

UT Tux Edition

xtra schreef op vrijdag 26 februari 2010 @ 11:10:
Grappig. In mijn antwoord:

[...]

Volgens mij is de DNB de belangrijkste toezichthouder:

[...]

Zijn er nog meer toezichthouders met/zonder richtlijnen?

Ik heb via verschillende kanalen niet kunnen achterhalen wat voor toezichthouder / richtlijnen dit zouden kunnen zijn. (= er is geen toezichthouder op dit gebied)

Transparant zou zijn deze richtlijnen (waar ze zich aan houden, dus die bekent zouden moeten zijn) openbaar te maken.

vrijdag 26 februari 2010 15:44

Acties:

0 Henk 'm!

BlackShift

J2pc schreef op vrijdag 26 februari 2010 @ 11:17:
Ik heb via verschillende kanalen niet kunnen achterhalen wat voor toezichthouder / richtlijnen dit zouden kunnen zijn. (= er is geen toezichthouder op dit gebied)

Ze konden mij niet vertellen wat die richtlijnen zelf waren, dus heb ik maar direct gevraagd wie die dan toezichthouders zijn. (Naast de DNB zou het AFM iets kunnen zijn.)

Ik kan het me voorstellen dat de ze de richtlijnen om een of andere reden niet kunnen of mogen geven, bijvoorbeeld omdat alleen de toezichthouder zelf dat mag doen. Maar ze moeten in ieder geval wel weten van wie ze die richtlijnen hebben gekregen en wie heeft bepaald dat ze daar aan voldoen.

Waarschijnlijk krijgen we daar ook geen antwoord op, maar dan is het in ieder geval wel voor iedereen duidelijk dat ze gewoon gelogen hebben. Ik vraag me af of we daar niet iets mee kunnen doen, dat zal toch niet mogen? Zeggen dat een toezichthouder zegt dat je aan bepaalde eisen voldoet, terwijl dat niet zo is. Anders ga ik ook een bank beginnen

.

Overigens is de autoreply aangepast, dit staat er nu bij:

Ga voorzichtig om met uw persoonlijke gegevens!
Mijn ING is strikt persoonlijk. Medewerkers van de ING zullen daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of TAN-codes vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.
Verstrek uw gebruikersnaam, wachtwoord en TAN-codes dus nooit aan anderen. Doet u dat toch, dan bent u zelf aansprakelijk voor de gevolgen van eventueel misbruik.

Als de ING nou zelf ook z'n best doet te voorkomen dat ze mijn wachtwoord aan andere mensen verstrekken, dan hebben we een deal!

vrijdag 26 februari 2010 15:49

Acties:

0 Henk 'm!

Hertog

Aut bibat, aut abeat

Het lijkt me inderdaad handig Kassa, de Consumentenbond of eventueel DNB aan te schrijven. Van een paar tweakers die hun rekening opzeggen raken ze misschien niet onder de indruk maar van deze instanties waarschijnlijk wel. Ik wil best een brief opstellen maar ik zit zelf niet bij ING (volg dit topic alleen uit interesse en omdat m'n ouders er wel een rekening hebben), iemand anders die dit wil doen/mee wil doen?

"Pray, v. To ask that the laws of the universe be annulled in behalf of a single petitioner, confessedly unworthy." --Ambrose Bierce, The Devil's Dictionary

vrijdag 26 februari 2010 16:15

Acties:

0 Henk 'm!

Anakha

Ik heb het enkele weken geleden al neergelegd bij de Consumentenbond (zoals ik in deze thread ook heb laten weten), waarbij ik te horen kreeg dat als ze veel klachten zouden krijgen, ze het zouden gaan onderzoeken. Ik hoop dus zeker dat ik niet de enige ben geweest.

zaterdag 27 februari 2010 14:20

Acties:

0 Henk 'm!

2_05

Rukapul schreef op vrijdag 26 februari 2010 @ 09:54:
[...]

Zou je een kopie van de reactie integraal hier willen plaatsen?

Een samenvatting leek mij makkelijker aangezien er geen verrassende nieuwe dingen gezegd werden, maar hierbij op verzoek:

Geachte heer

Er zijn inderdaad situaties denkbaar waarbij er misbruik kan worden gemaakt van uw gegevens. Bij elke vorm van beveiliging is er een balans tussen gebruiksgemak en veiligheid. Dit is bijvoorbeeld ook het geval bij de Betaalpas in combinatie met de PIN-code. Ook bij het systeem van de Betaalpas zijn situaties denkbaar waarin er misbruik kan worden gemaakt.

Zoals wij eerder aangaven heeft de ING bij het wijzigen van de procedure ook een afweging gemaakt tussen veiligheid en gebruiksgemak. De ING is van mening dat de veiligheid door de wijziging niet in het geding is.

De kans dat een eventuele fraudeur over alle gegevens beschikt is klein.

Verder informeert u naar het blokkeren van de TAN-functie. Het blokkeren van de TAN-functie staat los van het heraanvragen van het wachtwoord. Er zijn binnen Mijn ING twee soorten beveiliging:

De combinatie gebruikers en wachtwoord. Hiermee krijgt u toegang tot uw rekeninggegevens en kunt u opdrachten klaarzetten voor verzending.

De TAN-functie. Met de TAN-codes bevestigt u de door u ingevoerde betaal- en spaaropdrachten.

Wanneer u een nieuw wachtwoord aanvraagt, wordt de TAN-functie niet geblokkeerd. Zodra u weer kunt u inloggen met uw gebruikersnaam en wachtwoord kunt u weer gebruik maken van alle functie in Mijn ING.

Blokkeert u de TAN-functie, dan kunt u nog wel uw rekeninggegevens raadplegen. Het uitvoeren van betaal- en spaaropdrachten is echter niet meer mogelijk.

Tot slot geeft aan dat u een garantie wil over het schadeloos stellen in geval van fraude. Op voorhand kunnen wij geen toezeggingen met betrekking tot specifieke gevallen. Wel zijn er een aantal voorwaarden zijn waaraan u moet voldoen met betrekking tot de veiligheid in Mijn ING. Deze zijn beschreven in de voorwaarden van Mijn ING. Mocht u vermoeden dat er sprake is van fraude, dan moet u dit zo snel mogelijk melden. Na de melding wordt er een onderzoek gestart. Aan de hand van een onderzoek wordt dan per geval bekeken of u schadeloos wordt gesteld.

Met vriendelijke groet,
ING Klantenservice

Dhr. ***********
Manager Verkoop en Service

[ Voor 0% gewijzigd door iisschots op 27-02-2010 23:49 ]

maandag 1 maart 2010 19:12

Acties:

0 Henk 'm!

BlackShift

Hoe zouden ze die supergeheime gebruikersnamen eigenlijk opslaan?

Van wachtwoorden neem ik aan dat ze gesalt en gehasht zijn. In het oude systeem was het (mits goed geimplementeerd) vrijwel onmogelijk om 'als iemand anders in te loggen', zelfs voor iemand die (lees)toegang tot de ING gebruikersdatabase heeft.

Met het nieuwe systeem hoeft iemand die een dump van de gebruikersdatabase heeft alleen maar een telefoon te stelen. Zou mij niks verbazen als die dumps op de zwarte markt verhandeld worden. (Een dief doet het natuurlijk andersom, telefoon stelen en dan verpatsen aan criminele die zo'n dump heeft.)

Iemand die schrijftoegang tot de database heeft, kan natuurlijk veel meer kwaad, maar dat hoeft dus niet eens.

maandag 1 maart 2010 19:25

Acties:

0 Henk 'm!

Glashelder

Anti Android

Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt

Die kans is volgens mij nihil te noemen

[ Voor 50% gewijzigd door Glashelder op 01-03-2010 19:25 ]

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

maandag 1 maart 2010 19:30

Acties:

0 Henk 'm!

Brons

Fail!

Het is wel jammer dat de gevolgen nu wel groter zouden zijn. Als gebruikersnamen niet gehashed zijn. Je gebruikersnaam is tegenwoordig immers je wachtwoord.

maandag 1 maart 2010 20:03

Acties:

0 Henk 'm!

BlackShift

Glashelder schreef op maandag 01 maart 2010 @ 19:25:
Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

Dat was vroeger bij de postbank niet zo, ik heb brieven gehad waarin mijn gebruikersnaam herhaald werd.

Inloggen gebeurt alleen maar met gebruikersnaam en wachtwoord. Als elke gebruiker netjes zijn eigen salt heeft, is het dan vrijwel onmogelijk om te controleren of de ingevoerde gegevens correct zijn. Want dan moet je de ingevoerde gebruikersnaam met elke salt opnieuw hashen om te vergelijken met de database.

Ze zouden alle usernames met dezelfde salt kunnen hashen, en de wachtwoorden allemaal met een eigen. Maar dan nog hoef je maar 1x een rainbow table te maken.

Maar gezien deze flater van de ING acht ik ze niet zo technisch competent, dus ik neem aan dat de username gewoon plain text ergens staat...

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt Die kans is volgens mij nihil te noemen

Ik neem aan dat er heel veel werknemers van de ING zijn die leestoegang tot die informatie. Voorheen hoeften wij alleen maar de werknemers met schrijftoegang te vertrouwen (die kunnen gewoon wachtwoord veranderen), nu ook iedereen met leestoegang.

En die werknemers hoeven niet een hele dump te maken. Die kunnen gewoon af en toe iemand opzoeken.

dinsdag 2 maart 2010 12:18

Acties:

0 Henk 'm!

Glashelder

Anti Android

Ken toevallig een databasebeheerder bij de ING, zal eens voor je pollen

PV 4915wp op oost, 2680 wp op west, 1900 wp op zuid. pvoutput - AUX 8 kW bi bloc

dinsdag 2 maart 2010 15:28

Acties:

0 Henk 'm!

Liegebeest

D'r zijn zoveel database beheerders en maar weinig hebben ook maar iets te maken met Retail Internet.

[ Voor 5% gewijzigd door Liegebeest op 02-03-2010 19:17 ]

Liege, liege, liegebeest!

dinsdag 2 maart 2010 15:49

Acties:

0 Henk 'm!

Hertog

Aut bibat, aut abeat

Glashelder schreef op maandag 01 maart 2010 @ 19:25:
Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt Die kans is volgens mij nihil te noemen

Het is tot nu toe ook nog niet nuttig geweest om een dump van een database te laten lekken

"Pray, v. To ask that the laws of the universe be annulled in behalf of a single petitioner, confessedly unworthy." --Ambrose Bierce, The Devil's Dictionary

zaterdag 6 maart 2010 22:15

Acties:

0 Henk 'm!

Rukapul

In verband met drukke werkzaamheden heeft het even geduurd maar ik heb zojuist een verzoek tot onderzoek bij de toezichthouder ingediend. Dit topic was een goede aanvulling op het dossier

zondag 7 maart 2010 02:08

Acties:

0 Henk 'm!

xtra

Rukapul schreef op zaterdag 06 maart 2010 @ 22:15:
In verband met drukke werkzaamheden heeft het even geduurd maar ik heb zojuist een verzoek tot onderzoek bij de toezichthouder ingediend. Dit topic was een goede aanvulling op het dossier

Goeie actie!

Ik heb vorige week bij DNB gevraagd welke richtlijnen van toepassing kunnen zijn maar daar had ik nog geen antwoord op gekregen.

Hopelijk leveren alle acties nog wat op.

zondag 7 maart 2010 09:33

Acties:

0 Henk 'm!

RemcoDelft

xtra schreef op zondag 07 maart 2010 @ 02:08:
[...]
Hopelijk leveren alle acties nog wat op.

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

zondag 7 maart 2010 10:01

Acties:

0 Henk 'm!

Rukapul

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Ik kreeg/krijg het niet rond om alles om te zetten en de rekening op te heffen voor die datum. I.m.o. moet je een flink aantal maanden overlap hanteren om er zeker van te zijn dat alles van de oude rekening netjes overgezet is.

Ik zal echter wel alle saldi op de spaarrekeningen bij Mijn ING overboeken naar een andere spaarrekening die ik al heb en zal daarnaast kijken of ik overkan op een duurzamere betaalrekening.

zondag 7 maart 2010 17:25

Acties:

0 Henk 'm!

xtra

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Ik heb er een zakelijke rekening die ik nog niet wil/kan opzeggen. Daarom heb ik liever dat ze dit rare idee niet uitvoeren.

maandag 8 maart 2010 19:24

Acties:

0 Henk 'm!

Ultra

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Pfff., ik vrees dat ik even laks ben als 99,9% van de rekeninghouders. Mijn inlognaam heb ik veranderd, dat wel. Nu ik toch te laat ben, kan ik net zo goed afwachten of ze het echt gaan invoeren.

woensdag 10 maart 2010 12:15

Acties:

0 Henk 'm!

Stilgar

Ik ben wel benieuwd naar welke bank jullie overstappen.

Veel banken gebruiken een token waar de pas ingaat en de pincode ingevoerd moet worden. Ik vraag me af hoe veilig dat werkelijk is. Ik gebruik mijn pin pas en -code in de openbare ruimte. De pas kan geskimmed worden, en iemand kan je pin code lezen door mee te kijken of het plaatsen van een cameraatje. Kan met deze gegevens ook niet ingelogd worden op je Internet bankieren? Als een bedrag van je bankrekening gehaald wordt is dat heel zonde, maar op spaarrekeningen staat vaak een veelvoud van dit bedrag.

Met het 'Postbank' systeem was dit mooi afgevangen, pin en online waren in principe volledig gescheiden systemen.

Ik denk er daarom over om mijn betaal- en spaarrekeningen bij verschillende banken onder te brengen, zodat ik één pas en code alleen thuis kan gebruiken voor Internet bankieren.

Ik heb ook nog even nagedacht over het argument van de ING: 'je gebruikersnaam moet geheim blijven'.

Mijn eerste gedachte was: ze moeten beseffen dat, wanneer de gebruikersnaam geheim wordt, meer en meer mensen deze gebruikersnaam zullen vergeten en opnieuw zullen moeten aanvragen.
Toen bedacht ik me een account bij meerdere 'foutieve' inlogpogingen natuurlijk afgesloten wordt. Het zou dus goed kunnen dat mensen nu hun wachtwoord soms niet echt vergeten zijn, maar gewoon een aantal keren mistypen. Met een gebruikersnaam is dat uiteraard niet zo; er is immers geen manier om de poging te koppelen aan een account.
Een gevolg lijkt me daarom dat wanneer iemand je telefoon en wachtwoord heeft, hij eventueel je gebruikersnaam kan proberen te achterhalen met een -gedistribueerde- brute-force aanval. Het lijkt me moeilijk dit tegen te gaan.

woensdag 10 maart 2010 13:13

Acties:

0 Henk 'm!

Rukapul

Stilgar schreef op woensdag 10 maart 2010 @ 12:15:
Veel banken gebruiken een token waar de pas ingaat en de pincode ingevoerd moet worden. Ik vraag me af hoe veilig dat werkelijk is. Ik gebruik mijn pin pas en -code in de openbare ruimte. De pas kan geskimmed worden, en iemand kan je pin code lezen door mee te kijken of het plaatsen van een cameraatje. Kan met deze gegevens ook niet ingelogd worden op je Internet bankieren?

Nee, skimmen kopieert de magneetstrip, maar niet de chip die benodigd is voor het inloggen op Internetbankieren.

Een gevolg lijkt me daarom dat wanneer iemand je telefoon en wachtwoord heeft, hij eventueel je gebruikersnaam kan proberen te achterhalen met een -gedistribueerde- brute-force aanval. Het lijkt me moeilijk dit tegen te gaan.

Als deze aanval echt operationeel wordt dan kan deze server-side op legio manieren gedetecteerd, geneutraliseerd, en/of gefrustreerd worden.

woensdag 10 maart 2010 17:56

Acties:

0 Henk 'm!

Stilgar

Rukapul schreef op woensdag 10 maart 2010 @ 13:13:
Nee, skimmen kopieert de magneetstrip, maar niet de chip die benodigd is voor het inloggen op Internetbankieren.

Oh ja, dat is natuurlijk zo. Feit blijft dat als iemand je pin weet en je pas rolt, hij alsnog toegang tot al je geld heeft, inclusief spaargeld.

Rukapul schreef op woensdag 10 maart 2010 @ 13:13:
Als deze aanval echt operationeel wordt dan kan deze server-side op legio manieren gedetecteerd, geneutraliseerd, en/of gefrustreerd worden.

Natuurlijk zijn er mogelijkheden om het moeilijker te maken. Maar tenzij je naar captcha-achtige oplossingen gaat, lijkt het me moeilijk een valide inlogpoging te onderscheiden van een aanval, vooral als de aanvaller vele machines gebruikt en per machine maar een paar pogingen doet. Tenzij je gaat registreren hoe vaak een bepaald wachtwoord gebruikt wordt in een bepaalde periode... en dat lijkt me ook niet gewenst.

En voor het gros van de gebruikers is de gebruikersnaam waarschijnlijk niet zo heel moeilijk te achterhalen als je hun naam al weet...

Edit: ik realiseer me net dat deze grap niet opgaat als de gebruikersnaam ingevoerd moet worden bij het aanvragen van een nieuw wachtwoord, wat waarschijnlijk wel het geval zal zijn.

[ Voor 7% gewijzigd door Stilgar op 10-03-2010 18:23 ]

woensdag 10 maart 2010 18:02

Acties:

0 Henk 'm!

Brons

Fail!

Gelukkig zijn brute force aanvallen makkelijk af te vangen door een account te blokkeren na x pogingen.

woensdag 10 maart 2010 18:11

Acties:

0 Henk 'm!

Stilgar

Brons schreef op woensdag 10 maart 2010 @ 18:02:
Gelukkig zijn brute force aanvallen makkelijk af te vangen door een account te blokkeren na x pogingen.

Vergeet niet dat de aanvaller juist de gebruikersnaam aan het proberen is. Bij iedere poging wordt dus een andere gebruikersnaam gebruikt. Welk account wil je dan blokkeren?

woensdag 10 maart 2010 18:14

Acties:

0 Henk 'm!

Brons

Fail!

Stilgar schreef op woensdag 10 maart 2010 @ 18:11:
[...]

Vergeet niet dat de aanvaller juist de gebruikersnaam aan het proberen is. Bij iedere poging wordt dus een andere gebruikersnaam gebruikt. Welk account wil je dan blokkeren?

Als je iedere keer een andere gebruikersnaam gaat proberen kom je er toch nooit in.

EDIT: er is natuurlijk een kleine kans dat er mensen zijn met het wachtwoord 'geheim'. Daar zou je in kunnen komen, maar niet mee betalen.

[ Voor 15% gewijzigd door Brons op 10-03-2010 18:15 ]

woensdag 10 maart 2010 18:19

Acties:

0 Henk 'm!

Stilgar

Brons schreef op woensdag 10 maart 2010 @ 18:14:
[...]
Als je iedere keer een andere gebruikersnaam gaat proberen kom je er toch nooit in.

EDIT: er is natuurlijk een kleine kans dat er mensen zijn met het wachtwoord 'geheim'. Daar zou je in kunnen komen, maar niet mee betalen.

Zoals je eerder in dit topic kunt lezen, is het issue juist dat het wachtwoord van een gebruiker gewijzigd kan worden als je in het bezit bent van iemands passen en telefoon.

woensdag 10 maart 2010 18:24

Acties:

0 Henk 'm!

Brons

Fail!

Maar hoe kan je dmv brute force de gebruikersnaam van mensen achterhalen waar je de passen en telefoon van hebt?

woensdag 10 maart 2010 18:35

Acties:

0 Henk 'm!

gertvdijk

Brons schreef op woensdag 10 maart 2010 @ 18:24:
Maar hoe kan je dmv brute force de gebruikersnaam van mensen achterhalen waar je de passen en telefoon van hebt?

Niet, maar als ik je voorbeeld omdraai wordt het een stuk realistischer. Als je eenmaal toegang tot een account hebt verkregen m.b.v. brute-force zie je het 06-nummer en mogelijk ook meer gegevens (naam enzo, locatie uit mutaties) om zo achter de telefoon en pas aan te gaan.

Kia e-Niro 2021 64 kWh DynamicPlusLine. See my GitHub and my blog for articles on security and other stuff.

woensdag 10 maart 2010 19:06

Acties:

0 Henk 'm!

BlackShift

xtra schreef op zondag 07 maart 2010 @ 02:08:
[...]
Ik heb vorige week bij DNB gevraagd welke richtlijnen van toepassing kunnen zijn maar daar had ik nog geen antwoord op gekregen.

Na enig aandringen bevestigde de ING dat ze inderdaad de DNB bedoelde als toezichthouder, maar de DNB claimt dat die richtlijnen niet bestaan:
http://www.dnb.nl/over-dn...rige-vragen/auto40365.jsp

Dus ik had ook maar een mailtje naar de DNB gestuurd. Lijkt me raar als ze dat zomaar toe laten. Anders ga ik ook een bank beginnen en dat op m'n website zetten

.

Hmm, misschien krijg ik wel een gratis rekening bij de ING als ik zeg dat ik "voldoe aan de richtlijnen die de DNB heeft opgesteld ten aanzien van super-rijke-mensen-die-altijd-gratis-kadootjes-moeten-krijgen". Niets van gelogen. En dan dat gewoon te pas en te onpas herhalen.

woensdag 10 maart 2010 20:43

Acties:

0 Henk 'm!

BlackShift

Stilgar schreef op woensdag 10 maart 2010 @ 18:11:
Vergeet niet dat de aanvaller juist de gebruikersnaam aan het proberen is. Bij iedere poging wordt dus een andere gebruikersnaam gebruikt. Welk account wil je dan blokkeren?

Als je het wachtwoord weet, zou je de gebruikersnaam misschien kunnen brute forcen, maar dat kon vroeger ook al. Daar veranderd dus niet zoveel aan met deze nieuwe voorwaarden. Misschien wel een beetje als mensen makkelijke wachtwoorden gaan kiezen en moeilijke gebruikersnamen. Of omdat je nu makkelijker het wachtwoord kan bemachtigen door gsm verkeer af te luisteren.

Als je het wachtwoord niet weet, maar wel telefoon en pas hebt, dan zou je ook de username kunnen brute forcen, maar dan kunnen ze de pas (het pasnummer) blokkeren.

Verder zijn er inderdaad wel wat dingen tegen te doen op de server kant. En dit specifieke scenario is misschien niet direct nuttig voor een crimineel, maar het probleem is dat er zo veel meer bijna-hacks bij komen met dit nieuwe systeem dat het volgens mij een kwestie van tijd is voor er eentje succesvol misbruikt wordt.

woensdag 10 maart 2010 20:53

Acties:

0 Henk 'm!

BlackShift

Ultra schreef op maandag 08 maart 2010 @ 19:24:
[...]

Pfff., ik vrees dat ik even laks ben als 99,9% van de rekeninghouders. Mijn inlognaam heb ik veranderd, dat wel. Nu ik toch te laat ben, kan ik net zo goed afwachten of ze het echt gaan invoeren.

Tja, duurt inderdaad een eeuwigheid om alles goed te regelen. En iDeal is ook wel handig, dus ik blijf in ieder geval nog totdat ik iets beters heb geregeld, spaarrekening is al over. Dus ik besloot ook maar m'n gebruikersnaam te wijzigen, (vooral omdat die in een cookie op m'n telefoon staat):

ingsucks: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.
ingzuigt: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.

wie kan leukere gebruikersnamen vinden ?

woensdag 10 maart 2010 21:05

Acties:

0 Henk 'm!

BAS80

BlackShift schreef op woensdag 10 maart 2010 @ 20:53:
[...]

Tja, duurt inderdaad een eeuwigheid om alles goed te regelen. En iDeal is ook wel handig, dus ik blijf in ieder geval nog totdat ik iets beters heb geregeld, spaarrekening is al over. Dus ik besloot ook maar m'n gebruikersnaam te wijzigen, (vooral omdat die in een cookie op m'n telefoon staat):

ingsucks: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.
ingzuigt: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.

wie kan leukere gebruikersnamen vinden ?

Hoe makkelijk wil je het ze maken?
eff fictief maar zo is ongeveer mijn gebruikersnaam en wachtwoord opgebouwd, wel met andere letters/nummer en volgorde. Ik sla NOOIT cookies op en gebruik dit enkel bij vertrouwde PC's.

BsA121055ra11280Splifje

BsA inittalen van bijvoorbeeld mijn moeder
121055 de geboortedatum van haar.
ra mijn initialen
11280 mijn geboortedatum
Splifje dat rook ik graag,

Letters cijfers grote en kleine letters en allemaal dingen die ik weet, die ik zelfs bezopen nog op kan noemen. Ik moet enkel de volgorde goed onthouden.

Gamertag XBL: AltScarfaceNL Steam: 'Alt Scarface NL'

woensdag 10 maart 2010 21:22

Acties:

0 Henk 'm!

BlackShift

BAS80 schreef op woensdag 10 maart 2010 @ 21:05:
[...]

Hoe makkelijk wil je het ze maken?

Jaja, dat snap ik ook wel. Ik heb ook niet een op die twee lijkende gebruikersnaam gekozen maar een md5sum van een random string gemaakt en daar een stukje van genomen. Weet niet of ik het kan onthouden, maar volgens de ING is dat heel gebruikersvriendelijk, om een moeilijk te raden gebruikersnaam te verplichten.

Het ging me meer om het experiment. Ook meteen even gechecked dat geen van mijn familieleden zo een domme gebruiker is dat'ie z'n achternaam heeft als gebruikersnaam.

Edit: Jouw voorbeeld gebruikersnaam is te lang, max maximaal 20 tekens zijn. De jouwe is niet gebruikersvriendelijk genoeg denk ik.

[ Voor 9% gewijzigd door BlackShift op 10-03-2010 21:26 ]

vrijdag 26 maart 2010 14:05

Acties:

0 Henk 'm!

Liegebeest

Men was op zoek naar de regels van DNB waar de banken zich aan moeten houden? Ik heb me laten vertellen dat deze zijn opgesteld in de "Regeling Organisatie en Beheersing" (aka "ROB") uit 2002. In 2007 kwam daar de "Wet financieel toezicht" (aka "Wft") achteraan en dus is "ROB" -eigenlijk- niet meer van kracht. We kunnen er dus alsnog niet veel mee

"ROB" is op het web vrij beschikbaar als PDF, onder andere hier op deze site. Weer wat leeswerk voor bij het haardvuur.

[ Voor 9% gewijzigd door Liegebeest op 26-03-2010 14:06 ]

Liege, liege, liegebeest!

vrijdag 26 maart 2010 14:15

Acties:

0 Henk 'm!

Woy

Moderator Devschuur®

BAS80 schreef op woensdag 10 maart 2010 @ 21:05:
[...]
Hoe makkelijk wil je het ze maken?

Maar het is toch al van de zotte dat je zo een username moet verzinnen? Een username hoort gewoon niet iets te zijn wat je geheim moet houden, anders had je het ook wel in een password field in moeten typen.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

vrijdag 26 maart 2010 14:23

Acties:

0 Henk 'm!

RemcoDelft

BlackShift schreef op woensdag 10 maart 2010 @ 20:53:
[...]
ingsucks: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.
ingzuigt: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.

En nu weet je al 2 van de super-geheime gebruikersnamen die ING-klanten hebben...

vrijdag 26 maart 2010 14:49

Acties:

0 Henk 'm!

Brons

Fail!

ROB is zeker de opvolger van LIE en STEAL?

[ Voor 9% gewijzigd door Brons op 26-03-2010 14:49 ]

zaterdag 29 mei 2010 16:21

Acties:

0 Henk 'm!

frickY

En het is zover. Vandaag in de digitale nieuwsbrief van ING

Nieuw: wachtwoord Mijn ING per sms
Een wens van de gebruikers van Mijn ING (internetbankieren) was het ontvangen van het wachtwoord per sms. Dit is nu geregeld! Vanaf nu hoeft u het wachtwoord niet meer op postkantoor of ING-kantoor op te halen. U ontvangt direct een nieuw wachtwoord op uw mobiele telefoon en kunt meteen weer inloggen.
Meer informatie

Wilde direct contact opnemen, doet de e-mail pagina van de klantenservice het niet

Probleem is te omzeilen door direct naar https://www.ing.nl/ingf/go/ing/991006?secure=true te surfen... maar dan niet in Chrome

[ Voor 24% gewijzigd door frickY op 29-05-2010 16:25 ]

zaterdag 29 mei 2010 16:35

Acties:

0 Henk 'm!

RemcoDelft

frickY schreef op zaterdag 29 mei 2010 @ 16:21:
En het is zover. Vandaag in de digitale nieuwsbrief van ING

Ik had hem ook in m'n mailbox, vooral sneu dat ze doen alsof wij klanten daar zelf om vragen, en nog steeds doen alsof het beter wordt... Ik schrok er van, maar na doorlezen bleek er voor mensen met papieren lijst gelukkig niets te veranderen.

zaterdag 29 mei 2010 16:48

Acties:

0 Henk 'm!

alt-92

ye olde farte

RemcoDelft schreef op zaterdag 29 mei 2010 @ 16:35:
vooral sneu dat ze doen alsof wij klanten daar zelf om vragen

Er zijn inderdaad ook nog andere mensen dan jij en ik die niet zo geinteresseerd zijn in hun e-safety maar vooral niet al dat ingewikkelde gedoe willen hebben met brieven ophalen of een week moeten wachten.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

zondag 5 september 2010 17:18

Acties:

0 Henk 'm!

iisschots

Henk007 schreef op zaterdag 04 september 2010 @ 10:11:
Vanavond bij KRO Reporter een uitzending over skimmen:
Reporter 4 sept 2010 22.40 Ned 2

Dit gekeken. Precies hetzelfde probleem wat wij hier noemde kwam in deze uitzending terug. Lijkt net alsof ze dit topic hebben gelezen.

Hackerspace in Friesland | www.frack.nl | Bezig met opzetten, help mee!

Pagina: Vorige 1 2 3 Laatste

Reageer

Onderwerpen