[Risico] Aanpassing wachtwoord-retrieval MijnING.nl

Ook ik heb ze gemailt:

Subject: Klacht Mijn ING_Nieuwe inlogcodes


Betaalrekening van de ING: Ja
Rekeningnummer van de ING: xxxxxxx
Geboortedatum
Aanhef : heer
Voorletters :
Naam :
Straat :
Huisnummer :
Huisnummer toevoeging :
Postcode :
Plaats : Leiden
Provincie:
Land :
Telefoonnummer : 0611111111
Alternatief telefoonnummer :
E-mailadres : sdfasdfasdf@gmail.com

Vraag : Ik hoop dat jullie het proces voor het wijzigen van wachtwoorden niet gaan veranderen. Ik gebruik ING juist door de mobiele tan-codes. Dat vervolgens een verloren/gewijzigd wachtwoord naar ditzelfde apparaat gestuurd wordt is een groot beveiligingslek waar ik me erg zorgen om maak.


Eerste antwoord:

Geachte heer Eisjedies,

Het resetten via sms is een veilige methode om een nieuw wachtwoord te ontvangen. Uw gebruikersnaam blijft namelijk strikt persoonlijk. Daarnaast moeten de Betaalpas gegevens gebruikt worden bij de reset.

Bij het aanvragen van een nieuw wachtwoord, ontvangt u deze altijd per SMS indien u uitsluitend het wachtwoord kwijt bent en gebruik maakt van TAN via mobiel. Uw gebruikersnaam ontvangt u altijd via het postkantoor. Indien u uw gebruikersnaam en wachtwoord kwijt bent, dan ontvangt u beide per post.

Mocht u nog vragen hebben, dan kunt u altijd contact met ons opnemen.

Met vriendelijke groet,
ING Klantenservice

Dhr. [NAAM]
Manager Verkoop en Service

De ING is continu bezig haar dienstverlening te verbeteren. Wij stellen uw mening daarom erg op prijs. Klik op onderstaande link om deel te nemen aan een korte enquete en help ons onze dienstverlening te verbeteren. Deze enquete wordt uitgevoerd door Synovate in opdracht van ING.


Tweede email dan maar:
Beste,

U stelt dat het resetten via sms een veilige methode is om een nieuw wachtwoord te ontvangen. U vergeet hier dat voorheen 2 authenticatiemethoden gebruikt werden: iets dat je weet en iets dat je hebt. Wikipedia: Authenticatie In de nieuwe valt iets dat je weet helemaal weg.

Ik maak me ook ernstig zorgen jullie nieuwe methode. Ik maak dankbaar gebruik van MijnING op mijn mobiel. Dat betekent dat mijn username automatisch wordt opgeslagen in mijn mobiele browser. Tan codes komen ook naar mijn mobiel. Dit was niet erg, want om in te loggen had je altijd nog een wachtwoord nodig. En als jullie die nu ook gaan versturen naar dezelfde mobiel dan heb je dus met mijn mobiel alles in handen om mijn rekening te plunderen.

Ik maak gebruik van twee privé rekeningen en één zakelijke rekening. Ik ben serieus aan het overwegen om naar een andere bank over te stappen als jullie niet afzien van jullie nieuwe authenticatiemethode.

Met vriendelijke groet,

HenkEisjedies


Is het geen idee om met zijn allen één standaardbrief op te stellen die we met zijn allen kunnen versturen?

HenkEisDS schreef op vrijdag 29 januari 2010 @ 14:06:
Is het geen idee om met zijn allen één standaardbrief op te stellen die we met zijn allen kunnen versturen?

Dan sturen ze ook gewoon een standaard brief terug. Ik ben ook nog steeds met ze aan het mailen, maar ik verwacht eigenlijk niet veel buiten de standaard antwoorden. Ik denk dat er ondertussen intern al wel een balletje is gaan rollen, en dat ze echt wel een her-overweging maken aan de hand van alle klachten die ze krijgen. Of daar dan een bevredigend besluit uit komt weet ik niet.

Alle communicatie is er gewoon op gericht om hun keuze te verantwoorden, en niet om de klanten tegemoet te komen. Op zich begrijpelijk, maar ik blijf de beslissing echt een grote WTF vinden.

Woy schreef op vrijdag 29 januari 2010 @ 14:19:
Alle communicatie is er gewoon op gericht om hun keuze te verantwoorden, en niet om de klanten tegemoet te komen. Op zich begrijpelijk, maar ik blijf de beslissing echt een grote WTF vinden.

Helemaal mee eens. Een standaardbrief gaat je hierbij niet helpen.
Ik verwacht dat het blussen wat ING nu doet wel redelijk werkt nog, maar deze in mijn ogen misstand rond 15 maart wel weer in het nieuws komt als het daadwerkelijk wordt ingevoerd en dat mogelijk rond die datum er wel meer aandacht voor komt ook in andere media (consumentenprogramma's bijv.).

Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Janoz schreef op vrijdag 29 januari 2010 @ 14:35:
Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Ja, dat zou ook mijn 'advies' zijn nu ik die lauwe reacties lees van ING. Bij Vara's Kassa hebben ze trouwens eerder aandacht besteed aan Postbank/ING en het internetbankierensysteem, dus dat lijkt me de meest logische consumenten belangenbehartiger voor dit issue.

En dan nog verwacht ik verder hetzelfde.

[ Voor 8% gewijzigd door gertvdijk op 29-01-2010 14:39 ]

Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

xtra schreef op vrijdag 29 januari 2010 @ 14:58:
Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

Wij zien gewoon zeer snel een groot beveiligingslek ontstaan. De gemiddelde telegraaflezer zal het een goede service vinden.

xtra schreef op vrijdag 29 januari 2010 @ 14:58:
Het verbaast me eigenlijk dat het nog niet wordt opgepikt. Bijvoorbeeld Webwereld en af en toe een krantje zijn er vaak wel snel bij als er een relletje is.

Zoeken wij Tweakers nu spijkers op laag water of is het nog niet spannend genoeg voor anderen?

Ik denk ook dat het aan ons ligt, want ik had er ook al met de ING over gemaild. Hetzelfde antwoord, en nog erger: de mensen waarmee ik het er over gehad heb, wuiven het allemaal wel met de reden: dat gebeurt mij niet....

Wat ik veel in mijn omgeving tegenkom is 'Ach, zo'n grote bank. Die hebben daar vast wel goed over nagedacht'. Gelukkig ben ik al lang geen 16 meer en wordt mijn argumentatie binnen mijn kennissenkring wel serieus genomen.

Heb voor de zekerheid in elk geval maar overal het vinkje "bewaar m'n usernaam" weggehaald. Weet dat ie op m'n laptop dan nog in de cookie zit, maar op m'n iPhone verschijnt ie in elk geval niet meer. Anders was ik idd de sjaak geweest

Wat een zooitje zeg

Janoz schreef op vrijdag 29 januari 2010 @ 14:35:
Dan pas? Ik raad iedereen aan die zich afgewimpeld voelt dit ook vooral bij andere organisaties kenbaar te maken. Radar, maar ook bijvoorbeeld de consumentenbond.

Ik heb het als 'vraag' neergelegd bij de Consumentenbond, die gaven aan dat als hier voldoende meldingen over zouden binnenkomen, zij hier mogelijk een onderzoek naar zouden instellen. Ik zou dus leden van de Consumentenbond vooral willen oproepen om het ook even te melden via 070 - 445 45 45 (tijdens kantooruren, vandaag nog tot 17:30).

itsalwaysme schreef op vrijdag 29 januari 2010 @ 15:09:
[...]

Ik denk ook dat het aan ons ligt, want ik had er ook al met de ING over gemaild. Hetzelfde antwoord, en nog erger: de mensen waarmee ik het er over gehad heb, wuiven het allemaal wel met de reden: dat gebeurt mij niet....

Net als skimmen zeker

Anakha schreef op vrijdag 29 januari 2010 @ 16:34:
[...]
Ik heb het als 'vraag' neergelegd bij de Consumentenbond, die gaven aan dat als hier voldoende meldingen over zouden binnenkomen, zij hier mogelijk een onderzoek naar zouden instellen. Ik zou dus leden van de Consumentenbond vooral willen oproepen om het ook even te melden via 070 - 445 45 45 (tijdens kantooruren, vandaag nog tot 17:30).

Waarmee de Consumentenbond maar weer aangeeft een commercieel [i]bedrijf[i] te zijn. Als het ze werkelijk om de consumenten ging, zou de uitleg over de omvang van dit potentiele probleem toch ruim voldoende moeten zijn om hun volle aandacht te krijgen.

[ Voor 49% gewijzigd door RemcoDelft op 29-01-2010 16:52 ]

RemcoDelft schreef op vrijdag 29 januari 2010 @ 16:51:
Waarmee de Consumentenbond maar weer aangeeft een commercieel [i]bedrijf[i] te zijn. Als het ze werkelijk om de consumenten ging, zou de uitleg over de omvang van dit potentiele probleem toch ruim voldoende moeten zijn om hun volle aandacht te krijgen.

Ik heb zojuist een reactie terug gekregen met de bekende "antwoorden". Hier mijn tegenreactie:

Beste meneer ******,

Allereerst bedankt voor uw reactie.

Uw reactie stelt mij echter geenszins gerust. 30 minuten is voor een kwaadwillend persoon ruim voldoende om mijn geld over te maken naar een andere rekening. En daarbij is het maar zéér de vraag of ik binnen 30 minuten ontdek dat er ingebroken is in mijn huis, of op een andere manier spullen ontvreemd of verloren zijn.

Ook vind ik het een zeer kwalijke zaak, dat u blijkbaar meer belang hecht aan het geheim houden van de gebruikersnaam dan van het password. Ten eerste staat de gebruikersnaam bij het intypen open en bloot op het scherm, in tegenstelling tot het password. Ten tweede biedt uw website de mogelijkheid deze op te slaan, wat misbruik op deze manier natuurlijk wel érg makkelijk maakt.

Ook begrijp ik niet hoe dit systeem meer gebruiksvriendelijk moet zijn. In plaats van één geheime code te onthouden, moet ik er nu twéé onthouden, omdat de volledige beveiliging van mijn account nu afhangt van mijn gebruikersnaam. De kans dat ik iets vergeet is dus ineens dubbel zo groot.
U geeft aan dat wanneer mijn telefoon e.d. gestolen zijn, ik zo snel mogelijk de ING moet bellen om mijn pas te blokkeren. Dit geeft echter nóg meer ongemak. Want: ik zal eerst een telefoon moeten lenen om uberhaupt te kunnen bellen, vervolgens is mijn pas geblokkeerd, en zal ik dus ook geld moeten lenen om boodschappen te kunnen doen!

Maargoed, ik zal mijn gebruikersnaam veranderen naar een moeilijk te raden (en dus moeilijk te onthouden) code, en het vinkje om dit op te slaan uitzetten. Dit is blijkbaar de visie van ING op gebruiksvriendelijkheid.

Verder wil ik nog vragen of u iets wilt doen met mijn vraag over het contactformulier. Dat dit niet werkt bij gebruik van een andere browser dan Internet Explorer, of een ander besturingssysteem dan Microsoft Windows, is wel ernstig achterhaald en geeft mij ook niet bepaald vertrouwen in de kunde van uw IT-afdeling.

Groeten, David

Ik vraag mij echt af bij welk onderzoeksbureau ze de veiligheid hebben laten testen en volgens welk onderzoeksbureau het een goed idee is om de gebruikersnaam het geheime gedeelte van je login proces te maken in plaats van je wachtwoord. Dit zijn dan waarschijnlijk behoorlijk onkundige mensen op security gebied en ik zal ze dan ook niet inhuren.

Het komt er op neer dat je een gebruikersnaam moet gaan bedenken met hoofdletters, cijfers en leestekens in willekeurige volgorde om de taak van wachtwoord over te nemen. Je kan van je wachtwoord wel 1234 maken want het wachtwoord is totaal onbelangrijk geworden.

En waar zo'n username met letters en cijfers en leestekens, die je niet mag opschrijven, weer op neer komt is dat je het best eens zou kunnen vergeten.

En als je je supergeheime username vergeet, dan kun je een nieuwe aanvragen. En raad eens hoelang dat duurt? Weer 5 dagen!

Dus het enige klantvriendelijke voordeel, dat je snel nieuwe login gegevens kunt opvragen, is geheel niet bestaand.

Er moet dus iets anders spelen dan klantvriendelijkheid, een of andere rekensom met geld. Als klantvriendelijkheid het uitgangspunt was dan hadden ze die 5 dagen wel ingekort naar 1 dag en dit hele gedoe achterwege gelaten.

Ik heb ze het volgende scenario geschreven waarin duidelijk is hoe eenvoudig iemand je gebruikersnaam kan hebben:

Jullie zouden in moeten zien dat het eenvoudig is in het bezit te komen van iemands gebruikersnaam, bijvoorbeeld door deze af te lezen van het scherm als ik aan het inloggen ben. Dit kan bijvoorbeeld ook een collega zijn die ongemerkt heeft meegekeken. Heeft iemand eenmaal de gebruikersnaam ontdekt dan heeft hij alle tijd om een plan te beraden om mijn telefoon en portemonnee te jatten. Als hij deze heeft loopt diegene naar zijn auto en logt hij daar met zijn laptop in en verschaft zich toegang tot mijn rekening, door dus op dat moment ter plekke een nieuw wachtwoord aan te vragen met de gegevens uit mijn portemonnee. Voordat ik erachter kom dat mijn telefoon en portemonnee weg zijn en ik deze heb kunnen blokkeren is de dief natuurlijk al lang ingelogd en is mijn rekening leeg.

En dan nog krijg ik als standaard antwoord:

Voor de volledigheid: Bij het opvragen van een nieuw wachtwoord wordt niet alleen gevraagd naar de pasgegevens maar o.a. ook nog naar uw geboortedatum en gebruikersnaam. Met alleen de pas en de mobiele telefoon is dus nog steeds geen wachtwoord aan te vragen.

De ING heeft dus totaal geen besef over hoe eenvoudig het is om aan iemands gebruikersnaam te komen. Die staat bij iedereen in zijn cookie, en bij velen misschien ook wel in de telefoon met mobiel internet. Bovendien is een pasje met daarop je geboortedatum altijd in de buurt van je pinpas, dus dat bied ook 0 extra veiligheid.

De ING dwingt je dus tot het uitschakelen van de TAN functie en daarmee het gemak van aanvragen van TAN codes via je mobiel. En dan kom ik eigenlijk maar tot een conclusie:

• De ING ontneemt klanten die beveiliging belangrijk vinden een stukje klantvriendelijkheid om de klanten die te dom zijn om hun wachtwoord te onthouden extra klantvriendelijkheid te kunnen bieden.

[ Voor 10% gewijzigd door 2_05 op 30-01-2010 10:57 ]

Shit, heb ook een hypotheek bij de ING. Dus ik MOET een betaalrekening houden blijkbaar. Naja...maandag afspraak staan bij de Rabobank...dan maar zoveel mogelijk bij de ING weg trekken...

Voor de volledigheid: Bij het opvragen van een nieuw wachtwoord wordt niet alleen gevraagd naar de pasgegevens maar o.a. ook nog naar uw geboortedatum en gebruikersnaam. Met alleen de pas en de mobiele telefoon is dus nog steeds geen wachtwoord aan te vragen.

Hiermee gaat ING keer op keer voorbij aan het feit dat de fraudeur die het wachtwoord opvraagt, dat alleen doet als-ie de gebruikersnaam al weet. En de geboortedatum is een koud kunstje, genoeg mensen typen dat op meerdere plaatsen op internet gewoon in.

Wellicht kan ING toevoegen dat je na het aanvragen van je wachtwoord binnen 30 minuten 10 euro moet PINnen, voordat je je wachtwoord krijgt?
PINautomaten zijn overal te vinden, en op deze manier heb je in ieder geval de PINcode nodig.

ING moet een of andere kosten-baten afweging gemaakt hebben, dat valt af te leiden uit zinnen als "Het bedrijf vindt het 'zeer onwaarschijnlijk' dat er fraude wordt gepleegd met de logingegevens." Wat zouden de beide kanten van deze afweging kunnen zijn?

Voordelen voor ING (i.e. levert geld op):
1) Het postkantoor is out-of-the-loop. Dit restant van het postbanktijdperk is waarschijnlijk een redelijke kostenpost. Ik denk dat dit het oorspronkelijke probleem is wat opgelost moest worden.
2) Er ligt nu meer verantwoordelijkheid bij de rekeninghouder. (username geheim houden enzo.) Hierdoor wordt het makkelijker om de rekeninghouder de schuld te geven als er gefraudeerd wordt. Volgens mij is dit slechts een handige bijkomstigheid.
3) Ze proberen het te verkopen als beter klantvriendelijkheid. Dit is slechts een marketing trucje, want het kan niet anders dan dat ze weten dat dat eigenlijk niet klopt.

Nadelen voor ING (kost hen geld):
1) Mensen die hun rekening opzeggen zoals wij. Die zijn slechts collateral damage, want zoveel mensen zullen dat niet doen.
2) Kans op publieke imago schending. Ik hoop dat ze dat onderschatten, maar ik vrees dat er na deze thread geen haan meer over kraait.

Om de imago schade te voorkomen zullen ze absoluut nooit toegeven dat het een klantonvriendelijker systeem is. Sterker nog, in alle antwoorden tot nu toe toont de ING alleen maar begrip voor de gevoelens voor de klant, maar nooit begrip voor het daadwerkelijke probleem wat de klant heeft. Dat geeft aan dat ze het wel degelijk snappen, maar er alleen omheen mogen lullen. Als ze vinden dat het vermeende probleem echt niet bestaat, dan zouden ze er inhoudelijk op reageren en daarmee de klant daadwerkelijk helpen.

[ Voor 6% gewijzigd door BlackShift op 30-01-2010 12:51 ]

Scorpinus schreef op zaterdag 30 januari 2010 @ 12:10:
Shit, heb ook een hypotheek bij de ING. Dus ik MOET een betaalrekening houden blijkbaar. Naja...maandag afspraak staan bij de Rabobank...dan maar zoveel mogelijk bij de ING weg trekken...

Volgens mij kun je ook gewoon die tan via sms uitschakelen

sewer schreef op zaterdag 30 januari 2010 @ 14:19:
[...]


Volgens mij kun je ook gewoon die tan via sms uitschakelen

Waarna je helemaal geen betalingen meer kunt doen.

Precies

Ok, je moet misschien van te voren ergens aangeven dat je een tan-overzicht op papier wilt

Even een oud bericht van 21 oktober 2008, de Postbank probeerde toen veel klanten over te krijgen op de SMS manier van betalen. Grappige aan het artikel is de op één na laatste opmerking (dikgedrukt) over een huis met 4 sloten vs een huis met 2 sloten.

Geeft toch te denken dat met deze nieuwe manier van opvragen er weer een slot wordt weggegooid, namelijk het per post / identificatie aan de balie slot...om met de woorden van de heer Reusken te spreken.

Zijn er al mensen die hebben gevraagd aan de klantenservice of ze terug konden naar de papieren TAN variant? Dat het niet mogelijk is via de webinterface is op zich begrijpelijk, maar er is wellicht nog een achterdeurtje als je maar hoog genoeg schopt?

Klanten boos op Postbank
Tot woede van nogal wat rekeninghouders wil de Postbank af van het internetbankieren met papieren bevestigingscodes. Als het aan de bank ligt, ontvangen alle klanten de codes voortaan per sms op hun mobiele telefoon.
Van de 3,5 miljoen rekeninghouders werken nog circa 1,5 miljoen klanten met vooraf ontvangen codelijsten. Bij elke overboeking moeten zij ter bevestiging een zogenaamde TAN-code invoeren. De andere 2 miljoen Postbank-klanten ontvangen een smsje. Een veiliger systeem, vindt de bank: de lijst kan worden gestolen, terwijl de mobiele-code pas bij betaling wordt aangemaakt. In een brief vraagt de Postbank klanten 'nadrukkelijk' de codes voortaan via de gsm te ontvangen.

Gedwongen splitsing
Ook dwingt de Postbank ondernemers en zelfstandigen hun rekening te splitsen in een zakelijk en een particulier deel. Zij behouden de bedrijfsrekening, maar moeten opnieuw een privé-betaalrekening aanvragen. Voor de zakelijke rekening mogen ze de papieren lijst blijven gebruiken, internetbankieren per betaalrekening kan alleen met sms.

Nogal wat klanten reageren geïrriteerd. Op consumentenfora zeggen zij geen prijs te stellen op de gsm. ,,Ik wil gewoon een papieren lijst, geen gedoe met een mobiel om mij moverende redenen", zegt E.K Verhagen. ,,En zoiets beslis ik heel graag zelf." Anderen vinden dat de Postbank het mobieltje opdringt. ,,Keuze tussen de lijst of gsm is er niet. En dat terwijl de Postbank een dienstverlenende functie heeft."

Postbank: 'misverstand'
Volgens Harold Reusken van de Postbank is er sprake van een misverstand. De papieren lijst wordt voorlopig niet afgeschaft, bestaande rekeninghouders kunnen deze gewoon blijven ontvangen. ,,De ontkoppeling is slechts bedoeld om de Postbank met ING te integreren. Klanten die ook voor hun particuliere rekening de lijst willen houden, kunnen zich melden bij ons."

De Postbank zegt voor het veiligste systeem te kiezen. Wat volgens de bank niet betekent dat de oude papieren lijst onveilig is. ,,Het oude systeem voldoet aan alle eisen van de DNB," aldus Reusken. ,,Een huis met vier sloten is veiliger dan een met twee." Bovendien zou het systeem gemakkelijker zijn. ,,Mensen dragen hun mobieltje overal bij zich en kunnen overal betalen."

Geachte heer HenkEisjedies,

Wanneer u een nieuw wachtwoord wilt aanvragen dan zijn hiervoor de volgende gegevens nodig:

- uw gebruikersnaam
- het pasnummer van uw Betaalpas
- de vervaldatum van uw Betaalpas
- uw mobiele telefoonnummer
- uw geboortedatum

Wij adviseren u bij gebruik van Mijn ING op uw telefoon de gebruikersnaam niet op te slaan. Op dat moment zijn naast uw pasgegevens ook uw gebruikersnaam en geboortedatum niet bekend bij de persoon die uw telefoon in zijn/haar bezit heeft.

Met vriendelijke groet,
ING Klantenservice

Dhr. [naam]
Manager Verkoop en Service


Ik moet zeggen dat dit een antwoord is waar ik wat mee kan. uw gebruikersnaam. Pasnummer, vervaldatum, mobiele telefoonnummer en geboortedatum klinkt al een stuk beter dan 'sms met wachtwoord'. Nog steeds niet zo veilig als jezelf legitimeren op het postkantoor. Net zo onveilig als per post opsturen denk ik. Post kan je net als een mobiele telefoon onderscheppen.

Dit is toch niet veilig zeg.. Binnen 1 seconde te achterhalen, de rest staat op je pinpas..

Er is een heel groot verschil tussen de wachtwoord via sms en wachtwoord via de post. De variant van de post heeft namelijk een langere doorlooptijd. Zodra je de gebruikersnaam, portemonee en telefoon van je slachtoffer hebt ben je binnen 10 minuten volledig klaar. Wanneer het wachtwoord via de post wordt verstuurd ben je meer dan een dag bezig. Niet alleen is dat dus een stuk lastiger, maar de kans dat het slachtoffer bemerkt heeft dat hij bestolen is is dan veel groter.

Ik ben nou echt klaar met die klantenservice.
<hier stond een mailwisseling die wellicht niet relevant meer is>
Heb een reactie van hoger management, dat aangeeft er nog eens serieus naar te gaan (laten) kijken, en er daarna op terug te komen, eventueel voor meer informatie.

[ Voor 110% gewijzigd door Cheetah op 31-01-2010 10:25 ]

@ Cheetah:
Nog antwoord terug gehad van De Steve^(tm)?

[ Voor 7% gewijzigd door Liegebeest op 31-01-2010 07:39 ]

Een belangrijk verschil tussen een username en een password is dat een username uniek moet zijn. Daardoor zijn ze veel makkelijker te achterhalen.

Een voorbeeld: Als boef bemachtig je een jaarboek van een lokale sport- of studentenvereniging, met fotos, geboortedatums, adressen etc. Vervolgens ga je op mijn ing je eigen username veranderen in voorletter-achternaam (en variaties) van al die leden. Als je dan een usernaam vind waar je niet naar toe mag veranderen (en het is ook nog eens een vrij weinig voorkomende naam) dan heb je een aardige kans dat weet je bij wie die hoort. Dan hoef je nog alleen maar die persoon te vinden en telefoon + pinpas te stelen, niet zo moeilijk als ze op het sportveld staan ofzoiets.

Ik geef toe, een beetje ver gezocht voorbeeld, maar niet ondenkbaar. Natuurlijk zou je dat ook niet moeten doen met je eigen account, maar met eentje die je al eerder op een andere manier van iemand overgenomen hebt. Dan zou je deze techniek zonder risico kunnen proberen.

Heeft denk ik meer kans van slagen dan willekeurig pinpassen stelen en dan hopen dat je de username gokt.

(Disclaimer: het is natuurlijk niet de bedoeling dat een van jullie dit daadwerkelijk gaat doen! Maakt voor mij overigens niet meer uit, heb het overstapformulier voor de triodos al ingevuld.)

Cheetah schreef op zondag 31 januari 2010 @ 11:45:
@Cailin, jup, er gaat naar gekeken worden, en terugkoppeling volgt nog
Heb ook onder de aandacht gebracht dat velen (waaronder ikzelf) not amused zijn van de 'antwoorden' die ze van de klantenservice krijgen. Ik ben benieuwd...

Hey, da's goed nieuws!
Ben benieuwd wat eruit komt.

J2pc schreef op maandag 01 februari 2010 @ 10:48:
[...]

Hey, da's goed nieuws!
Ben benieuwd wat eruit komt.

Tot op heden blijkbaar nog vrij weinig.

Ik zelf ben nu over naar de Rabobank. Laat mijn betaalrekening staan voor mijn hypotheek, maar daar gaat niet meer geld naar toe dan nodig.

Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.

Het is niet mogelijk u de contactgegevens te geven van de toezichthouders. Wel hebben wij onderstaande informatie voor u.

De afgelopen jaren is gebleken dat veel klanten de huidige procedure voor het heraanvragen van het wachtwoord als onprettig ervaren. Als gevolg hiervan heeft de ING gezocht naar een meer klantvriendelijke oplossing. Hierbij heeft de ING een afweging gemaakt tussen veiligheid en gebruiksgemak.

Er is een oplossing gevonden waarbij het gebruiksgemak sterk is verbeterd en de veiligheid naar onze mening gewaarborgd blijft. De nieuwe procedure voldoet bovendien aan de richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Ook heeft ING een team van veiligheidsexperts in huis die zich dagelijks bezig houdt met de veiligheid van internetbankieren en voortdurend aanpassingen doet aan onze systemen. Natuurlijk volgen we alle ontwikkelingen met betrekking tot de veiligheid van internet en mobiele telefonie nauwlettend en blijven continue investeren in de veiligheid.

U als klant kunt ook zelf maatregelen treffen om veilig te bankieren. Tip die ING aan klanten geeft is om een gebruikersnaam en wachtwoord te kiezen die minder voor de hand liggen. Ook moet je deze inlogcodes nooit met andere delen. Als u de gebruikersnaam voor Mijn ING wilt bewaren, raden we aan dit alleen te doen op uw eigen computer.

Wij vertrouwen erop dat mensen zorgvuldig omgaan met persoonlijke bezittingen, zoals de Betaalpas, identiteitsbewijzen en de mobiele telefoon.

Om misbruik te kunnen maken van Mijn ING heeft iemand uw gebruikersnaam, geboortedatum, mobiele telefoon, Betaalpas en vervaldatum gelijktijdig nodig.
Mocht onverhoopt een dergelijke situatie zich toch voordoen, dan is het van belang dat u zo snel mogelijk contact opneemt met de Alarmlijn. Uw account van Mijn ING wordt in dat geval direct geblokkeerd. U kunt de Alarmlijn 24 uur per dag bereiken via 058 212 6000.

Wij willen tot slot benadrukken dat we de mogelijkheid van het frauduleus aanvragen van een wachtwoord via SMS zeer onwaarschijnlijk achten. Het nieuwe proces waarbij je per sms een nieuw wachtwoord kan opvragen is een veilig proces. Veiligheidsexperts van ING hebben hier uitvoerig onderzoek naar gedaan.

Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ik neem aan dat DNB (De Nederlandse Bank) hier over gaat. Wellicht is het een idee om een brief naar hen op te stellen en deze met meerdere als privepersoon te ondertekenen? Of dat meerdere personen dezelfde brief sturen?

DNB gaat vooral over liquiditeit en goed bestuur, niet over specifieke voorwaarden van diensten.

Overigens zijn banken vrij om te bepalen welke diensten zij aanbieden en onder welke voorwaarden. DNB gaat niet over de voorwaarden die banken opstellen voor hun producten of diensten.

Ik denk dus niet dat DNB weinig kan zeggen over brakheid van security.

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.


[...]


Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ik heb inderdaad, op de eerste alinea na, exact dezelfde mail ontvangen. Toch apart dat het 2 weken moet duren om een standaard mail te versturen.

Ik heb mijn keuze in ieder geval gemaakt. Ik ga overstappen naar een andere bank, nu alleen nog uitzoeken naar welke. Als dit de manier is waarop ze met gegronde klachten omgaan, dan is het niet het bedrijf waar ik mijn geld wil hebben staan.

[ Voor 6% gewijzigd door Woy op 12-02-2010 13:32 ]

Janoz schreef op vrijdag 12 februari 2010 @ 13:29:
DNB gaat vooral over liquiditeit en goed bestuur, niet over specifieke voorwaarden van diensten.

[...]

Ik denk dus niet dat DNB weinig kan zeggen over brakheid van security.

Volgens hun eigen site (http://www.dnb.nl/over-dnb/taken/index.jsp)

Een stabiel financieel stelsel is sterk afhankelijk van een veilig en betrouwbaar betalingsverkeer. Iedereen moet probleemloos kunnen betalen met munten en bankbiljetten, maar ook met zijn chipknip, pinpas en creditcard, of via het internet. En de miljoenen transacties die banken dagelijks uitvoeren, moeten veilig en zonder storingen verlopen.

Veiligheid aankaarten zou dus zeker kunnen helpen.

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.


[...]


Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Ik heb inderdaad exact het zelfde mailtje gekregen. Met mijn naam verkeerd gespeld erboven. Lekker dan!

Er is een oplossing gevonden waarbij het gebruiksgemak sterk is verbeterd en de veiligheid naar onze mening gewaarborgd blijft.

Ze dekken zich lekker in... Het Tweakers nieuwsbericht had al een beveiligings-expert gevonden die daar heel anders over dacht...

Wij willen tot slot benadrukken dat we de mogelijkheid van het frauduleus aanvragen van een wachtwoord via SMS zeer onwaarschijnlijk achten.

Nogal een aanname! 10 jaar geleden vonden ze grootschalige skimming vast ook onwaarschijnlijk.

Het nieuwe proces waarbij je per sms een nieuw wachtwoord kan opvragen is een veilig proces. Veiligheidsexperts van ING hebben hier uitvoerig onderzoek naar gedaan.

Ik zie nog 3 2 mogelijkheden:
-ING wil kosten besparen en liegt glashard
-Het management van ING heeft geen flauw benul waar dit hele onderwerp over gaat
-De "experts" bij ING lopen de kantjes er vanaf

@Hieronder:

J2pc schreef op vrijdag 12 februari 2010 @ 15:57:
[...]
Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

Zo had ik het niet opgevat, maar inderdaad, het staat er wel zo! En daaruit leid ik dan maar af dat de experts het er niet mee eens zijn.

[ Voor 71% gewijzigd door RemcoDelft op 12-02-2010 16:00 ]

Janoz schreef op vrijdag 12 februari 2010 @ 13:10:
Nou, na een eeuw heb ik eindelijk een reactie van de zogenaamde '2e lijn'. Maar ook dat stelt weinig voor. Ze hebben me op twee verschillende vragen twee bijna identieke antwoorden gestuurd.


[...]


Alleen de eerste alinea verschilde. Ook van andere mensen heb ik gezien dat ze exact dezelfde mail gekregen hebben.

Het meest kwalijke aan dit hele verhaal is dat ik in mijn vraagstellen enkele specifieke gevallen en exploits aangegeven heb en op geen enkele van mijn opmerkingen is ingegaan. Ik de vraag om welke 'toezichthouder' het gaat mag blijkbaar niet beantwoord worden.

Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

via-via weet ik dat dit een business keuze is waarin het security team niet gekend is, en dat er bij het internet security team zeker twijfels zijn over deze nieuwe aanpak.

J2pc schreef op vrijdag 12 februari 2010 @ 15:57:
[...]


Leuk antwoord. Als je goed leest zeggen ze dat ze een team van beveilings experts hebben, maar niet dat die deze wijziging steunen.

via-via weet ik dat dit een business keuze is waarin het security team niet gekend is, en dat er bij het internet security team zeker twijfels zijn over deze nieuwe aanpak.

Goed om te horen. Laten wij hopen dat de beveiligingsmensen zich hebben ingedekt en dat ING keihard op z'n muil gaat.

mcDavid schreef op vrijdag 12 februari 2010 @ 15:46:
[...]
Ik heb inderdaad exact het zelfde mailtje gekregen. Met mijn naam verkeerd gespeld erboven. Lekker dan!

Ja hoor, ik ook precies dezelfde reactie. Maar dan een eerste alinea waarin ze toegeven dat het een standaard antwoord is:

Wij zien dat u inderdaad de tijd genomen heeft om uw bezwaren tegen de nieuwe methode te beargumenteren. De ING heeft ervoor gekozen om in haar reactie in zijn algemeenheid toe te lichten waarom de nieuwe procedure wordt ingevoerd en aan te geven waarom deze betrouwbaar is.

Ofwel, we sturen gewoon weer lekker simpel een algemene reactie en gaan niet in op de zwakheden die u in de beveiliging signaleert.

Gegevens als bankpasnummer, vervaldatum, geboortedatum, bankrekeningnummer, mobielnummer stellen niet zoveel voor. Een kopie bankpas moet je bij de aanvraag van een mobiel abonnement, een lening, het huren van een auto, de personeelsadministratie ook overhandigen. Of het moet zijn dat je iedere individuele medewerker van de Phone House, Hertz en de Mediamarkt vertrouwt?

Blijft enkel de gebruikersnaam over die nu moet gaan fungeren als een soort wachtwoord. Een beetje social enginering kan hier helpen. En met de op handen zijnde gecomprimeerde beveiliging van de A5/1-encryptie (GSM) is het plaatje compleet. En hebben ze niet eens meer fysiek je mobiel nodig.

En mocht het fout gaan dan is er één geruststelling. Jij als klant mag gaan bewijzen dat je het niet jouw fout is, want anders wordt er niets vergoed. Dit komt dan nog bovenop de papierwinkel en wekenlang geen toegang tot je geld (dat er niet meer is).

Leuk als je je telefoon inlevert voor reparatie, zonder de cookies van Mijn ING te wissen

Eindelijk weer een reactie van de klantenservice. Ze weigeren gewoon in te gaan op mijn vragen.

Geachte heer De Vries,

Onze excuses voor de vertraagde beantwoording van uw e-mail.

Wij gaan niet op de door u geschetste scenario's in. In onze beantwoording van onze vorige e-mails hebben wij u zo duidelijk mogelijk geinformeerd over de gang van zaken omtrent het wijzigen van de procedure. Wij vragen hiervoor uw begrip.

Met vriendelijke groet,
ING Klantenservice

Ja hallo. De procedure was me vanaf het begin al duidelijk. Sterker nog, de procedure is mij duidelijker dan dat het bij hun is aangezien ik blijkbaar wel de flaws in hun redenatie zie en zij zelf niet.

Ik heb ze vorige week uiteindelijk maar laten weten dat ze al mijn ING-producten inderdaad per ingangsdatum van de wijziging mogen stopzetten, aangezien ze blijkbaar niet in staat zijn om op een fatsoenlijke manier met klachten om te gaan. Ik heb al mijn bankzaken inmiddels verhuisd.

Anakha schreef op woensdag 24 februari 2010 @ 20:45:
Ik heb al mijn bankzaken inmiddels verhuisd.

Ik heb ook al een nieuwe bankrekening aangevraagd. Helaas duurt het nog even, voordat ik alle instanties e.d. heb ingelicht, want anders was mijn ING rekening ook al opgezegd.

Een bank die zo pruts met beveiliging is mijn geld niet waard!

Heeft iemand eigenlijk radar / kassa al getipt?

Door de 'kwalitatief uitermatende teleurstellende' houding ten opzichte van kritische consumenten vindt ik dat eigenlijk wel gerechtvaardigd...

BlackShift schreef op donderdag 25 februari 2010 @ 11:55:
[...]
Dat was mij niet zo heel duidelijk. Ik dacht dat dat alleen ging over de communicatie tussen toestel en zendmast en dat de authenticatie van de sim anders gaat.

Je hebt gelijk; het gaat in eerste instantie over het afluisteren van verkeer (zowel spraak, sms als data). Het algoritme voor authenticatie A3 is gebaseerd op hetzelfde principe en in oudere varianten zijn zwakheden gevonden. Een bruikbare exploit zou overigens het hele TAN authenticatie per SMS principe ondermijnen.

Neemt inderdaad niet weg dat we nu van 2-weg authenticatie naar praktisch 1-weg authenticatie gaan.

Ik heb weer een nieuwe reactie ontvangen. Samengevat stond er:

• Dat er idd scenario's denkbaar zijn waarin misbruik mogelijk is maar dat dat ook bij de pinpas icm pincode het geval is, als antwoordt op door mij genoemde scenarios
  Maar je pincode wordt niet op je scherm weergegeven en is niet per SMS aan te vragen....
• Hoe TAN code werkt
  Wist ik al, terwijl mijn vraag is waarom wachtwoord aanvragen via sms niet uitgeschakeld kan worden, los van betalen via SMS nog steeds onbeantwoord is.
• Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
  Heb je concreet dus ook niet erg veel aan.

Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

2_05 schreef op vrijdag 26 februari 2010 @ 00:12:
• Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
Heb je concreet dus ook niet erg veel aan.

Feitelijk staat er dus dat je als klant mag opdraaien voor de kosten (lees: verlies eigen geld) bij misbruik van de door hun verzwakte beveiliging. Mooie bank is de ING toch

Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

Dit is ook alles wat ik gevraagd heb, maar je zou een klant toch eens gelijk geven ....

ignitem schreef op vrijdag 26 februari 2010 @ 00:25:
[...]


Feitelijk staat er dus dat je als klant mag opdraaien voor de kosten (lees: verlies eigen geld) bij misbruik van de door hun verzwakte beveiliging. Mooie bank is de ING toch


[...]


Dit is ook alles wat ik gevraagd heb, maar je zou een klant toch eens gelijk geven ....

Eens, ik wil opt-outen!

Ik heb geen problemen om m'n wachtwoord te onthouden, en anders accepteer ik dat ik een paar dagen moet wachten.

2_05 schreef op vrijdag 26 februari 2010 @ 00:12:
Ik heb weer een nieuwe reactie ontvangen. Samengevat stond er:

• Dat er idd scenario's denkbaar zijn waarin misbruik mogelijk is maar dat dat ook bij de pinpas icm pincode het geval is, als antwoordt op door mij genoemde scenarios
  Maar je pincode wordt niet op je scherm weergegeven en is niet per SMS aan te vragen....
• Hoe TAN code werkt
  Wist ik al, terwijl mijn vraag is waarom wachtwoord aanvragen via sms niet uitgeschakeld kan worden, los van betalen via SMS nog steeds onbeantwoord is.
• Dat ze geen garantie kunnen geven dat je schadeloos gesteld zult worden in geval van fraude, maar dat je melding kan maken en dat ze zullen onderzoeken of je schadeloos gesteld wordt.
  Heb je concreet dus ook niet erg veel aan.

Ze hoeven me alleen maar de mogelijkheid te geven dat wachtwoord opvragen via sms uit te schakelen, zonder betalen via sms uit te zetten. Maar zelfs daar willen ze mij geen gelijk in geven.

Zou je een kopie van de reactie integraal hier willen plaatsen?

Ikzelf kreeg hetvolgende (dus weer een copypaste verhaaltje)

Geachte heer De Vries,

Wij begrijpen dat u bezorgd bent over de wijzigingen bij Mijn ING. Er zijn inderdaad situaties denkbaar waarbij er misbruik kan worden gemaakt van uw gegevens. Bij elke vorm van beveiliging is er een balans tussen gebruiksgemak en veiligheid. Dit is bijvoorbeeld ook het geval bij de Betaalpas in combinatie met de PIN-code. Ook bij het systeem van de Betaalpas zijn situaties denkbaar waarin er misbruik kan worden gemaakt.

Zoals wij eerder aangaven heeft de ING bij het wijzigen van de procedure ook een afweging gemaakt tussen veiligheid en gebruiksgemak. De ING is van mening dat de veiligheid door de wijziging niet in het geding is.

De kans dat een eventuele fraudeur over alle gegevens beschikt is klein.

Op voorhand kunnen wij geen toezeggingen doen met betrekking tot specifieke gevallen. Wel zijn er een aantal voorwaarden zijn waaraan u moet voldoen met betrekking tot de veiligheid in Mijn ING. Deze zijn beschreven in de voorwaarden van Mijn ING. Mocht u vermoeden dat er sprake is van fraude, dan moet u dit zo snel mogelijk melden. Na de melding wordt er een onderzoek gestart. Aan de hand van een onderzoek wordt dan per geval bekeken of u schadeloos wordt gesteld.

Met vriendelijke groet,
ING Klantenservice

Dhr. *********
Manager Verkoop en Service

waarop ik gereageerd heb met:

Het grote verschil is dat iedereen weet dat de pincode persoonlijk is
en dat er druk gecommuniceerd wordt dat je pincode prive is. Jullie
nieuwe internetbankieren is afhankelijk van het geheim zijn van de
_gebruikersnaam_! Jullie bieden notabene zelf aan om die voor de
gebruiker te onthouden. De nieuwe beveiliging is dus eerder te
vergelijken met een pintransactie waarbij de pincode keurig mee te
lezen is en aan het einde ook nog eens wordt gevraagd of de pincode
misschien onthouden moet worden.

[ Voor 0% gewijzigd door iisschots op 28-02-2010 11:06 ]

Grappig. In mijn antwoord:

De ING biedt u een veilige omgeving aan om bankzaken via internetbankieren te regelen. De ING voldoet daarmee aan richtlijnen die toezichthouders hebben opgesteld ten aanzien van internetbankieren.

Volgens mij is de DNB de belangrijkste toezichthouder:

Vraag
Welke regels zijn er ten aanzien van internetbankieren?

Antwoord
De Nederlandse Bank stelt geen specifieke richtlijnen ten aanzien van internetbankieren. Wel kan in zijn algemeenheid worden opgemerkt dat de Wet toezicht kredietwezen 1992 en de ´Regeling Organisatie en Beheersing´ algemene kaders geven waaraan banken moeten voldoen. Hiermee worden overigens geen detailvoorschriften voor internetbankieren gegeven, hoewel de aanpak en beheersing van internetbankieren te allen tijde aan de algemene wetten en regelgeving dienen te voldoen.

Vaak zijn bij het afnemen van een dienst of product zowel algemene als specifieke productvoorwaarden van toepassing. Banken dienen klanten te informeren over de randvoorwaarden van een bepaald product.

Zijn er nog meer toezichthouders met/zonder richtlijnen?

xtra schreef op vrijdag 26 februari 2010 @ 11:10:
Grappig. In mijn antwoord:

[...]


Volgens mij is de DNB de belangrijkste toezichthouder:

[...]

Zijn er nog meer toezichthouders met/zonder richtlijnen?

Ik heb via verschillende kanalen niet kunnen achterhalen wat voor toezichthouder / richtlijnen dit zouden kunnen zijn. (= er is geen toezichthouder op dit gebied)

Transparant zou zijn deze richtlijnen (waar ze zich aan houden, dus die bekent zouden moeten zijn) openbaar te maken.

J2pc schreef op vrijdag 26 februari 2010 @ 11:17:
Ik heb via verschillende kanalen niet kunnen achterhalen wat voor toezichthouder / richtlijnen dit zouden kunnen zijn. (= er is geen toezichthouder op dit gebied)

Ze konden mij niet vertellen wat die richtlijnen zelf waren, dus heb ik maar direct gevraagd wie die dan toezichthouders zijn. (Naast de DNB zou het AFM iets kunnen zijn.)

Ik kan het me voorstellen dat de ze de richtlijnen om een of andere reden niet kunnen of mogen geven, bijvoorbeeld omdat alleen de toezichthouder zelf dat mag doen. Maar ze moeten in ieder geval wel weten van wie ze die richtlijnen hebben gekregen en wie heeft bepaald dat ze daar aan voldoen.

Waarschijnlijk krijgen we daar ook geen antwoord op, maar dan is het in ieder geval wel voor iedereen duidelijk dat ze gewoon gelogen hebben. Ik vraag me af of we daar niet iets mee kunnen doen, dat zal toch niet mogen? Zeggen dat een toezichthouder zegt dat je aan bepaalde eisen voldoet, terwijl dat niet zo is. Anders ga ik ook een bank beginnen .

Overigens is de autoreply aangepast, dit staat er nu bij:

Ga voorzichtig om met uw persoonlijke gegevens!
Mijn ING is strikt persoonlijk. Medewerkers van de ING zullen daarom nooit naar uw gebruikersnaam, wachtwoord, activeringscode of TAN-codes vragen. Niet via e-mail, telefoon of op welke andere manier dan ook.
Verstrek uw gebruikersnaam, wachtwoord en TAN-codes dus nooit aan anderen. Doet u dat toch, dan bent u zelf aansprakelijk voor de gevolgen van eventueel misbruik.

Als de ING nou zelf ook z'n best doet te voorkomen dat ze mijn wachtwoord aan andere mensen verstrekken, dan hebben we een deal!

Het lijkt me inderdaad handig Kassa, de Consumentenbond of eventueel DNB aan te schrijven. Van een paar tweakers die hun rekening opzeggen raken ze misschien niet onder de indruk maar van deze instanties waarschijnlijk wel. Ik wil best een brief opstellen maar ik zit zelf niet bij ING (volg dit topic alleen uit interesse en omdat m'n ouders er wel een rekening hebben), iemand anders die dit wil doen/mee wil doen?

Ik heb het enkele weken geleden al neergelegd bij de Consumentenbond (zoals ik in deze thread ook heb laten weten), waarbij ik te horen kreeg dat als ze veel klachten zouden krijgen, ze het zouden gaan onderzoeken. Ik hoop dus zeker dat ik niet de enige ben geweest.

Rukapul schreef op vrijdag 26 februari 2010 @ 09:54:
[...]

Zou je een kopie van de reactie integraal hier willen plaatsen?

Een samenvatting leek mij makkelijker aangezien er geen verrassende nieuwe dingen gezegd werden, maar hierbij op verzoek:

Geachte heer

Er zijn inderdaad situaties denkbaar waarbij er misbruik kan worden gemaakt van uw gegevens. Bij elke vorm van beveiliging is er een balans tussen gebruiksgemak en veiligheid. Dit is bijvoorbeeld ook het geval bij de Betaalpas in combinatie met de PIN-code. Ook bij het systeem van de Betaalpas zijn situaties denkbaar waarin er misbruik kan worden gemaakt.

Zoals wij eerder aangaven heeft de ING bij het wijzigen van de procedure ook een afweging gemaakt tussen veiligheid en gebruiksgemak. De ING is van mening dat de veiligheid door de wijziging niet in het geding is.

De kans dat een eventuele fraudeur over alle gegevens beschikt is klein.

Verder informeert u naar het blokkeren van de TAN-functie. Het blokkeren van de TAN-functie staat los van het heraanvragen van het wachtwoord. Er zijn binnen Mijn ING twee soorten beveiliging:

De combinatie gebruikers en wachtwoord. Hiermee krijgt u toegang tot uw rekeninggegevens en kunt u opdrachten klaarzetten voor verzending.

De TAN-functie. Met de TAN-codes bevestigt u de door u ingevoerde betaal- en spaaropdrachten.

Wanneer u een nieuw wachtwoord aanvraagt, wordt de TAN-functie niet geblokkeerd. Zodra u weer kunt u inloggen met uw gebruikersnaam en wachtwoord kunt u weer gebruik maken van alle functie in Mijn ING.

Blokkeert u de TAN-functie, dan kunt u nog wel uw rekeninggegevens raadplegen. Het uitvoeren van betaal- en spaaropdrachten is echter niet meer mogelijk.

Tot slot geeft aan dat u een garantie wil over het schadeloos stellen in geval van fraude. Op voorhand kunnen wij geen toezeggingen met betrekking tot specifieke gevallen. Wel zijn er een aantal voorwaarden zijn waaraan u moet voldoen met betrekking tot de veiligheid in Mijn ING. Deze zijn beschreven in de voorwaarden van Mijn ING. Mocht u vermoeden dat er sprake is van fraude, dan moet u dit zo snel mogelijk melden. Na de melding wordt er een onderzoek gestart. Aan de hand van een onderzoek wordt dan per geval bekeken of u schadeloos wordt gesteld.

Met vriendelijke groet,
ING Klantenservice

Dhr. ***********
Manager Verkoop en Service

[ Voor 0% gewijzigd door iisschots op 27-02-2010 23:49 ]

Hoe zouden ze die supergeheime gebruikersnamen eigenlijk opslaan?

Van wachtwoorden neem ik aan dat ze gesalt en gehasht zijn. In het oude systeem was het (mits goed geimplementeerd) vrijwel onmogelijk om 'als iemand anders in te loggen', zelfs voor iemand die (lees)toegang tot de ING gebruikersdatabase heeft.

Met het nieuwe systeem hoeft iemand die een dump van de gebruikersdatabase heeft alleen maar een telefoon te stelen. Zou mij niks verbazen als die dumps op de zwarte markt verhandeld worden. (Een dief doet het natuurlijk andersom, telefoon stelen en dan verpatsen aan criminele die zo'n dump heeft.)

Iemand die schrijftoegang tot de database heeft, kan natuurlijk veel meer kwaad, maar dat hoeft dus niet eens.

Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt Die kans is volgens mij nihil te noemen

[ Voor 50% gewijzigd door Glashelder op 01-03-2010 19:25 ]

Het is wel jammer dat de gevolgen nu wel groter zouden zijn. Als gebruikersnamen niet gehashed zijn. Je gebruikersnaam is tegenwoordig immers je wachtwoord.

Glashelder schreef op maandag 01 maart 2010 @ 19:25:
Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

Dat was vroeger bij de postbank niet zo, ik heb brieven gehad waarin mijn gebruikersnaam herhaald werd.

Inloggen gebeurt alleen maar met gebruikersnaam en wachtwoord. Als elke gebruiker netjes zijn eigen salt heeft, is het dan vrijwel onmogelijk om te controleren of de ingevoerde gegevens correct zijn. Want dan moet je de ingevoerde gebruikersnaam met elke salt opnieuw hashen om te vergelijken met de database.

Ze zouden alle usernames met dezelfde salt kunnen hashen, en de wachtwoorden allemaal met een eigen. Maar dan nog hoef je maar 1x een rainbow table te maken.

Maar gezien deze flater van de ING acht ik ze niet zo technisch competent, dus ik neem aan dat de username gewoon plain text ergens staat...

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt Die kans is volgens mij nihil te noemen

Ik neem aan dat er heel veel werknemers van de ING zijn die leestoegang tot die informatie. Voorheen hoeften wij alleen maar de werknemers met schrijftoegang te vertrouwen (die kunnen gewoon wachtwoord veranderen), nu ook iedereen met leestoegang.

En die werknemers hoeven niet een hele dump te maken. Die kunnen gewoon af en toe iemand opzoeken.

Ken toevallig een databasebeheerder bij de ING, zal eens voor je pollen

D'r zijn zoveel database beheerders en maar weinig hebben ook maar iets te maken met Retail Internet.

[ Voor 5% gewijzigd door Liegebeest op 02-03-2010 19:17 ]

Glashelder schreef op maandag 01 maart 2010 @ 19:25:
Het is helemaal geen ongebruikelijke praktijk om gebruikersnamen ook te hashen?

En volgens mij, is er in ieder geval in Nederland, nog nooit een dump van een database van een bank uitgelekt Die kans is volgens mij nihil te noemen

Het is tot nu toe ook nog niet nuttig geweest om een dump van een database te laten lekken

In verband met drukke werkzaamheden heeft het even geduurd maar ik heb zojuist een verzoek tot onderzoek bij de toezichthouder ingediend. Dit topic was een goede aanvulling op het dossier

Rukapul schreef op zaterdag 06 maart 2010 @ 22:15:
In verband met drukke werkzaamheden heeft het even geduurd maar ik heb zojuist een verzoek tot onderzoek bij de toezichthouder ingediend. Dit topic was een goede aanvulling op het dossier

Goeie actie!

Ik heb vorige week bij DNB gevraagd welke richtlijnen van toepassing kunnen zijn maar daar had ik nog geen antwoord op gekregen.

Hopelijk leveren alle acties nog wat op.

xtra schreef op zondag 07 maart 2010 @ 02:08:
[...]
Hopelijk leveren alle acties nog wat op.

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Ik kreeg/krijg het niet rond om alles om te zetten en de rekening op te heffen voor die datum. I.m.o. moet je een flink aantal maanden overlap hanteren om er zeker van te zijn dat alles van de oude rekening netjes overgezet is.

Ik zal echter wel alle saldi op de spaarrekeningen bij Mijn ING overboeken naar een andere spaarrekening die ik al heb en zal daarnaast kijken of ik overkan op een duurzamere betaalrekening.

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Ik heb er een zakelijke rekening die ik nog niet wil/kan opzeggen. Daarom heb ik liever dat ze dit rare idee niet uitvoeren.

RemcoDelft schreef op zondag 07 maart 2010 @ 09:33:
[...]

De deadline ligt ondertussen over 8 dagen... Zijn er hier nog mensen die hun rekening hebben gehouden, terwijl ze TAN-codes per SMS ontvangen?

Pfff., ik vrees dat ik even laks ben als 99,9% van de rekeninghouders. Mijn inlognaam heb ik veranderd, dat wel. Nu ik toch te laat ben, kan ik net zo goed afwachten of ze het echt gaan invoeren.

Ik ben wel benieuwd naar welke bank jullie overstappen.

Veel banken gebruiken een token waar de pas ingaat en de pincode ingevoerd moet worden. Ik vraag me af hoe veilig dat werkelijk is. Ik gebruik mijn pin pas en -code in de openbare ruimte. De pas kan geskimmed worden, en iemand kan je pin code lezen door mee te kijken of het plaatsen van een cameraatje. Kan met deze gegevens ook niet ingelogd worden op je Internet bankieren? Als een bedrag van je bankrekening gehaald wordt is dat heel zonde, maar op spaarrekeningen staat vaak een veelvoud van dit bedrag.

Met het 'Postbank' systeem was dit mooi afgevangen, pin en online waren in principe volledig gescheiden systemen.

Ik denk er daarom over om mijn betaal- en spaarrekeningen bij verschillende banken onder te brengen, zodat ik één pas en code alleen thuis kan gebruiken voor Internet bankieren.

Ik heb ook nog even nagedacht over het argument van de ING: 'je gebruikersnaam moet geheim blijven'.

Mijn eerste gedachte was: ze moeten beseffen dat, wanneer de gebruikersnaam geheim wordt, meer en meer mensen deze gebruikersnaam zullen vergeten en opnieuw zullen moeten aanvragen.
Toen bedacht ik me een account bij meerdere 'foutieve' inlogpogingen natuurlijk afgesloten wordt. Het zou dus goed kunnen dat mensen nu hun wachtwoord soms niet echt vergeten zijn, maar gewoon een aantal keren mistypen. Met een gebruikersnaam is dat uiteraard niet zo; er is immers geen manier om de poging te koppelen aan een account.
Een gevolg lijkt me daarom dat wanneer iemand je telefoon en wachtwoord heeft, hij eventueel je gebruikersnaam kan proberen te achterhalen met een -gedistribueerde- brute-force aanval. Het lijkt me moeilijk dit tegen te gaan.

Stilgar schreef op woensdag 10 maart 2010 @ 12:15:
Veel banken gebruiken een token waar de pas ingaat en de pincode ingevoerd moet worden. Ik vraag me af hoe veilig dat werkelijk is. Ik gebruik mijn pin pas en -code in de openbare ruimte. De pas kan geskimmed worden, en iemand kan je pin code lezen door mee te kijken of het plaatsen van een cameraatje. Kan met deze gegevens ook niet ingelogd worden op je Internet bankieren?

Nee, skimmen kopieert de magneetstrip, maar niet de chip die benodigd is voor het inloggen op Internetbankieren.

Een gevolg lijkt me daarom dat wanneer iemand je telefoon en wachtwoord heeft, hij eventueel je gebruikersnaam kan proberen te achterhalen met een -gedistribueerde- brute-force aanval. Het lijkt me moeilijk dit tegen te gaan.

Als deze aanval echt operationeel wordt dan kan deze server-side op legio manieren gedetecteerd, geneutraliseerd, en/of gefrustreerd worden.

Rukapul schreef op woensdag 10 maart 2010 @ 13:13:
Nee, skimmen kopieert de magneetstrip, maar niet de chip die benodigd is voor het inloggen op Internetbankieren.

Oh ja, dat is natuurlijk zo. Feit blijft dat als iemand je pin weet en je pas rolt, hij alsnog toegang tot al je geld heeft, inclusief spaargeld.

Rukapul schreef op woensdag 10 maart 2010 @ 13:13:
Als deze aanval echt operationeel wordt dan kan deze server-side op legio manieren gedetecteerd, geneutraliseerd, en/of gefrustreerd worden.

Natuurlijk zijn er mogelijkheden om het moeilijker te maken. Maar tenzij je naar captcha-achtige oplossingen gaat, lijkt het me moeilijk een valide inlogpoging te onderscheiden van een aanval, vooral als de aanvaller vele machines gebruikt en per machine maar een paar pogingen doet. Tenzij je gaat registreren hoe vaak een bepaald wachtwoord gebruikt wordt in een bepaalde periode... en dat lijkt me ook niet gewenst.

En voor het gros van de gebruikers is de gebruikersnaam waarschijnlijk niet zo heel moeilijk te achterhalen als je hun naam al weet...

Edit: ik realiseer me net dat deze grap niet opgaat als de gebruikersnaam ingevoerd moet worden bij het aanvragen van een nieuw wachtwoord, wat waarschijnlijk wel het geval zal zijn.

[ Voor 7% gewijzigd door Stilgar op 10-03-2010 18:23 ]

Gelukkig zijn brute force aanvallen makkelijk af te vangen door een account te blokkeren na x pogingen.

Brons schreef op woensdag 10 maart 2010 @ 18:02:
Gelukkig zijn brute force aanvallen makkelijk af te vangen door een account te blokkeren na x pogingen.

Vergeet niet dat de aanvaller juist de gebruikersnaam aan het proberen is. Bij iedere poging wordt dus een andere gebruikersnaam gebruikt. Welk account wil je dan blokkeren?

Stilgar schreef op woensdag 10 maart 2010 @ 18:11:
[...]

Vergeet niet dat de aanvaller juist de gebruikersnaam aan het proberen is. Bij iedere poging wordt dus een andere gebruikersnaam gebruikt. Welk account wil je dan blokkeren?

Als je iedere keer een andere gebruikersnaam gaat proberen kom je er toch nooit in.

EDIT: er is natuurlijk een kleine kans dat er mensen zijn met het wachtwoord 'geheim'. Daar zou je in kunnen komen, maar niet mee betalen.

[ Voor 15% gewijzigd door Brons op 10-03-2010 18:15 ]

Brons schreef op woensdag 10 maart 2010 @ 18:14:
[...]
Als je iedere keer een andere gebruikersnaam gaat proberen kom je er toch nooit in.

EDIT: er is natuurlijk een kleine kans dat er mensen zijn met het wachtwoord 'geheim'. Daar zou je in kunnen komen, maar niet mee betalen.

Zoals je eerder in dit topic kunt lezen, is het issue juist dat het wachtwoord van een gebruiker gewijzigd kan worden als je in het bezit bent van iemands passen en telefoon.

Maar hoe kan je dmv brute force de gebruikersnaam van mensen achterhalen waar je de passen en telefoon van hebt?

Brons schreef op woensdag 10 maart 2010 @ 18:24:
Maar hoe kan je dmv brute force de gebruikersnaam van mensen achterhalen waar je de passen en telefoon van hebt?

Niet, maar als ik je voorbeeld omdraai wordt het een stuk realistischer. Als je eenmaal toegang tot een account hebt verkregen m.b.v. brute-force zie je het 06-nummer en mogelijk ook meer gegevens (naam enzo, locatie uit mutaties) om zo achter de telefoon en pas aan te gaan.

BlackShift schreef op woensdag 10 maart 2010 @ 20:53:
[...]

Tja, duurt inderdaad een eeuwigheid om alles goed te regelen. En iDeal is ook wel handig, dus ik blijf in ieder geval nog totdat ik iets beters heb geregeld, spaarrekening is al over. Dus ik besloot ook maar m'n gebruikersnaam te wijzigen, (vooral omdat die in een cookie op m'n telefoon staat):

ingsucks: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.
ingzuigt: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.

wie kan leukere gebruikersnamen vinden ?

Hoe makkelijk wil je het ze maken?
eff fictief maar zo is ongeveer mijn gebruikersnaam en wachtwoord opgebouwd, wel met andere letters/nummer en volgorde. Ik sla NOOIT cookies op en gebruik dit enkel bij vertrouwde PC's.

BsA121055ra11280Splifje

BsA inittalen van bijvoorbeeld mijn moeder
121055 de geboortedatum van haar.
ra mijn initialen
11280 mijn geboortedatum
Splifje dat rook ik graag,

Letters cijfers grote en kleine letters en allemaal dingen die ik weet, die ik zelfs bezopen nog op kan noemen. Ik moet enkel de volgorde goed onthouden.

BAS80 schreef op woensdag 10 maart 2010 @ 21:05:
[...]


Hoe makkelijk wil je het ze maken?

Jaja, dat snap ik ook wel. Ik heb ook niet een op die twee lijkende gebruikersnaam gekozen maar een md5sum van een random string gemaakt en daar een stukje van genomen. Weet niet of ik het kan onthouden, maar volgens de ING is dat heel gebruikersvriendelijk, om een moeilijk te raden gebruikersnaam te verplichten.

Het ging me meer om het experiment. Ook meteen even gechecked dat geen van mijn familieleden zo een domme gebruiker is dat'ie z'n achternaam heeft als gebruikersnaam.

Edit: Jouw voorbeeld gebruikersnaam is te lang, max maximaal 20 tekens zijn. De jouwe is niet gebruikersvriendelijk genoeg denk ik.

[ Voor 9% gewijzigd door BlackShift op 10-03-2010 21:26 ]

Men was op zoek naar de regels van DNB waar de banken zich aan moeten houden? Ik heb me laten vertellen dat deze zijn opgesteld in de "Regeling Organisatie en Beheersing" (aka "ROB") uit 2002. In 2007 kwam daar de "Wet financieel toezicht" (aka "Wft") achteraan en dus is "ROB" -eigenlijk- niet meer van kracht. We kunnen er dus alsnog niet veel mee

"ROB" is op het web vrij beschikbaar als PDF, onder andere hier op deze site. Weer wat leeswerk voor bij het haardvuur.

[ Voor 9% gewijzigd door Liegebeest op 26-03-2010 14:06 ]

BAS80 schreef op woensdag 10 maart 2010 @ 21:05:
[...]
Hoe makkelijk wil je het ze maken?

Maar het is toch al van de zotte dat je zo een username moet verzinnen? Een username hoort gewoon niet iets te zijn wat je geheim moet houden, anders had je het ook wel in een password field in moeten typen.

BlackShift schreef op woensdag 10 maart 2010 @ 20:53:
[...]
ingsucks: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.
ingzuigt: De gebruikersnaam die u heeft gekozen is al in gebruik. Kies een andere gebruikersnaam.

En nu weet je al 2 van de super-geheime gebruikersnamen die ING-klanten hebben...

ROB is zeker de opvolger van LIE en STEAL?

[ Voor 9% gewijzigd door Brons op 26-03-2010 14:49 ]

En het is zover. Vandaag in de digitale nieuwsbrief van ING

Nieuw: wachtwoord Mijn ING per sms
Een wens van de gebruikers van Mijn ING (internetbankieren) was het ontvangen van het wachtwoord per sms. Dit is nu geregeld! Vanaf nu hoeft u het wachtwoord niet meer op postkantoor of ING-kantoor op te halen. U ontvangt direct een nieuw wachtwoord op uw mobiele telefoon en kunt meteen weer inloggen.
Meer informatie

Wilde direct contact opnemen, doet de e-mail pagina van de klantenservice het niet Probleem is te omzeilen door direct naar https://www.ing.nl/ingf/go/ing/991006?secure=true te surfen... maar dan niet in Chrome

[ Voor 24% gewijzigd door frickY op 29-05-2010 16:25 ]

frickY schreef op zaterdag 29 mei 2010 @ 16:21:
En het is zover. Vandaag in de digitale nieuwsbrief van ING

Ik had hem ook in m'n mailbox, vooral sneu dat ze doen alsof wij klanten daar zelf om vragen, en nog steeds doen alsof het beter wordt... Ik schrok er van, maar na doorlezen bleek er voor mensen met papieren lijst gelukkig niets te veranderen.

RemcoDelft schreef op zaterdag 29 mei 2010 @ 16:35:
vooral sneu dat ze doen alsof wij klanten daar zelf om vragen

Er zijn inderdaad ook nog andere mensen dan jij en ik die niet zo geinteresseerd zijn in hun e-safety maar vooral niet al dat ingewikkelde gedoe willen hebben met brieven ophalen of een week moeten wachten.

Henk007 schreef op zaterdag 04 september 2010 @ 10:11:
Vanavond bij KRO Reporter een uitzending over skimmen:
Reporter 4 sept 2010 22.40 Ned 2

Dit gekeken. Precies hetzelfde probleem wat wij hier noemde kwam in deze uitzending terug. Lijkt net alsof ze dit topic hebben gelezen.