veiligheid internetbankieren

of de dief zet een pet over zn hoofd en trekt de flappentap leeg met jouw pas...

Als je pas gejat wordt, meteen laten blokkeren. Dan kan de dief er ook niets meer mee. Ik neem aan dat je het ook snel genoeg door hebt dat je portomonnee gestolen is.

Tenzij de dief na het stelen direct om een hoekje gaat zitten met een al opgestartte laptop en random reader

in dat opzicht werkt het oude postbank systeem goed met de tancodes. Je had een inlog + ww om in te loggen en om over te schrijven had je een tan code nodig. Deze code kreeg je of vooraf 100 per post of per stuk via de sms. In mijn ogen nog steeds een erg goed systeem en het zou geen kwaad kunnen als andere banken delen hiervan nu overnemen. Want inderdaad, op het moment dat je pas weg is en iemand je pincode weet dan kan deze vanalles bekijken via internet bankieren.

Salandur schreef op dinsdag 25 januari 2011 @ 13:31:
in dat opzicht werkt het oude postbank systeem goed met de tancodes. Je had een inlog + ww om in te loggen en om over te schrijven had je een tan code nodig. Deze code kreeg je of vooraf 100 per post of per stuk via de sms. In mijn ogen nog steeds een erg goed systeem en het zou geen kwaad kunnen als andere banken delen hiervan nu overnemen. Want inderdaad, op het moment dat je pas weg is en iemand je pincode weet dan kan deze vanalles bekijken via internet bankieren.

Het nieuwe systeem van de ING werkt ook goed (eigenlijk hetzelfde principe); alleen wordt de TAN code per sms verzonden bij het aanmaken van een transactie.
De SNS bank werkt met een getallen-generatortje waarvoor je zelf een password mag verzinnen, werkt ook prima! (Je hebt dan dus niet de pas nodig, zoals het ABN-principe).

Tjsa, ik zie het verschil niet echt. Rabo heeft gelijk dat het jou verantwoordelijkheid is dat jij je pincode geheimhoud en niet je pas laat stelen.
Ben je je pas op een onverklaarbare manier verloren dan moet je hem gewoon laten blokkeren. Ten tweede kun je betalingsverkeer traceren dus heb je nog een kans dat je je geld terug krijgt. Mocht iemand naar de flappentapper lopen ben je sowieso je geld kwijt

Salandur schreef op dinsdag 25 januari 2011 @ 13:31:
in dat opzicht werkt het oude postbank systeem goed met de tancodes. Je had een inlog + ww om in te loggen en om over te schrijven had je een tan code nodig. Deze code kreeg je of vooraf 100 per post of per stuk via de sms. In mijn ogen nog steeds een erg goed systeem en het zou geen kwaad kunnen als andere banken delen hiervan nu overnemen. Want inderdaad, op het moment dat je pas weg is en iemand je pincode weet dan kan deze vanalles bekijken via internet bankieren.

mja aleen de optie om je wachtwoord naar je telefoon te laten sturen (dezelfde als je tan codes) doet daar een beetje afbraak aan

Wachtwoord vergeten:
U kunt een wachtwoord per sms aanvragen. U wordt vervolgens aan de hand van een aantal gegevens geïdentificeerd. Als deze gegevens akkoord zijn, ontvangt u direct uw tijdelijke wachtwoord per sms.
Log direct in op Mijn ING met uw gebruikersnaam en het tijdelijke wachtwoord. Het tijdelijke wachtwoord is 30 minuten geldig.
Het is belangrijk dat u het wachtwoord direct wijzigt. Volg na het inloggen de instructies op het scherm om het tijdelijke wachtwoord te wijzigen.
Gebruikersnaam vergeten:
U ontvangt binnen 5 werkdagen een brief met uw gebruikersnaam op uw woonadres.
Log direct in op Mijn ING met uw gebruikersnaam en uw wachtwoord.

gelukkig heb ik geen voor de hand liggend gebruiker ingesteld

Stap over naar bijvoorbeeld SNS of Triodos, dan krijg je een apparaatje waar je niet je pas in hoeft te stoppen maar een wachtwoord op dat ongelijk is aan de pincode van je pasje

eamelink schreef op dinsdag 25 januari 2011 @ 14:05:
Stap over naar bijvoorbeeld SNS of Triodos, dan krijg je een apparaatje waar je niet je pas in hoeft te stoppen maar een wachtwoord op dat ongelijk is aan de pincode van je pasje

Sterker nog; dat kan zelfs helemaal niet sinds het uit 5 karakters moet bestaan

EoG schreef op dinsdag 25 januari 2011 @ 14:09:
[...]

Sterker nog; dat kan zelfs helemaal niet sinds het uit 5 karakters moet bestaan

Ik hoop dat er dan meer eisen aan het wachtwoord worden gesteld, anders zal van Jan Lul het wachtwoord gelijk zijn aan dat van zijn Hyves/Hotmail/Facebook account.

JBrennan schreef op dinsdag 25 januari 2011 @ 14:11:
Ik hoop dat er dan meer eisen aan het wachtwoord worden gesteld, anders zal van Jan Lul het wachtwoord gelijk zijn aan dat van zijn Hyves/Hotmail/Facebook account.

Iemand weet mijn pincode, heeft mijn pinpas en toevallig weet hij mijn 5 tekens wachtwoord. Hoe groot zal dan nog de kans zijn dat hij dan ook nog eens mijn login-name weet van hyves/hotmail/facebook?

Verwijderd schreef op dinsdag 25 januari 2011 @ 14:09:
[...]


Vroeger, toen ik nog "internet"bankierde door met een modem via de telefoonlijn in te bellen, had de Rabo dat ook. Zo'n zwart apparaatje.

Bedankt voor de tips, ik overweeg om over te stappen naar een bank die het beter geregeld heeft.

Wat ik lees is dat je je bang laat maken door een sensationeel SBS6 programma. Tegenwoordig is het internetbankieren al behoorlijk veilig. Zoals al vaker genoemd: als iemand jou je pasje en pincode ontfutselt, en vervolgens naar de pinautomaat gaat, ben je ook je geld kwijt. Gelukkig is hier wel een dag- en weeklimiet op gezet, zodat de schade beperkt blijft. Toch is er dan niet traceerbaar waar het geld heen is.

Je wil overstappen naar een bank die het beter geregeld heeft? Noem er eens een? Ik denk dat je eerder uitkomt op een dikke sok, of je spaargeld onder je matras te verstoppen.

[edit] Het enige risico dat je loopt waar de kans al wat groter op is, is skimming. En in dat geval wordt je pas geblokkeerd, krijg je een nieuwe pas, en de schade wordt vergoed. Geleden schade: enkele dagen zonder bruikbare pas.

[ Voor 10% gewijzigd door DrivinUCrazy op 25-01-2011 14:19 ]

Verwijderd schreef op dinsdag 25 januari 2011 @ 14:09:
[...]


Vroeger, toen ik nog "internet"bankierde door met een modem via de telefoonlijn in te bellen, had de Rabo dat ook. Zo'n zwart apparaatje.

Bedankt voor de tips, ik overweeg om over te stappen naar een bank die het beter geregeld heeft.

Anders bekeken; Elke vorm van internetbankieren heeft zo zijn downsides. Het is maar net wat jouw het beste past.

Hoe dan ook, als diefstal/hacking aan kan worden getoond (en dat kan, als het goed is), is de bank verantwoordelijk voor jouw verlies voor zover ik weet. Het is immers de beveiliging van de bank die het af laat weten. Niet de jouwe.

Verwijderd schreef op dinsdag 25 januari 2011 @ 14:09:
[...]

Vroeger, toen ik nog "internet"bankierde door met een modem via de telefoonlijn in te bellen, had de Rabo dat ook. Zo'n zwart apparaatje.

Bedankt voor de tips, ik overweeg om over te stappen naar een bank die het beter geregeld heeft.

Maar als ze je pasje en code hebben zullen ze toch naar de eerst volgende bank gaan en daar je rekening leeg trekken. Heb je nog weinig aan een wachtwoord, niet? Of gaat het je echt om dat ze via internet niet kunnen zien wat er allemaal van de rekening op en af is gegaan?

Puur technisch is het misschien veilig met de random reader, tenzij iemand met winkelen jouw gegevens ontfutselt.

Puur technisch is het misschien veilig met de auto, tenzij iemand je remkabels doorknipt.

Het lijkt me nogal logisch dat het systeem veilig is totdat iemand anders zich voor kan doen als jou. De onzorgvuldigheid ligt bij jou. Niet alleen omdat je je pasje laat hebt laten blokkeren, maar ook omdat jij iemand anders in staat heb gesteld mee te kijken tijdens het intoetsen van je pin.

Vindt jij het redelijk dat de bank moet opdraaien voor gedragingen die naar maatschappelijke maatstaven in jouw eigen risicosfeer liggen?

Als je zo bang bent je geld te verliezen zodra iemand je pas steelt, waarom heb je dan überhaupt een bankpas? Of er nu internetbankieren is of niet, met je pincode en je pinpas kan een derde aan al je geld via de pinautomaat. Goed, dan kunnen ze niet aan je spaargeld, maar het principe is gewoon gelijk. Ga je nu je geld in een oude matras bewaren?

Gewoon goed opletten als je je pincode invoert en je hebt nergens last van. Simpelweg checken of de automaat geen skimmer heeft en of er niemand met je meekijkt zou afdoende moeten zijn.

NMe schreef op dinsdag 25 januari 2011 @ 14:28:
Gewoon goed opletten als je je pincode invoert en je hebt nergens last van. Simpelweg checken of de automaat geen skimmer heeft en of er niemand met je meekijkt zou afdoende moeten zijn.

Zo simpel is dat niet. Tegenwoordig kunnen ze die skim apparatuur zo goed wegwerken zodat je dat echt niet zomaar ziet. Het scheelt dat ze je chip niet kunnen kopiëren met die apparatuur, dus ze zullen nog steeds je pas moeten stelen.

Maar op zich vind ik het nog niet zo'n gek idee dat je een ander geheim voor je internetbankieren wil hebben dan voor pin-transacties. Op mijn betaal rekening staat een stuk minder geld dan op mijn spaar-rekening, dus ik zou er niet vrolijk van hebben als een eventuele skimmer opeens ook toegang zou hebben tot mijn internetbankieren.

Het wordt lastig om een veilig systeem te bedenken wat 100% waterdicht is, die wachtwoorden zijn wel aardig maar als iemand een keylogger op je PC weet te installeren ( en dat gebeurt vrij vaak tegenwoordig genoeg mensen die hun game account kwijt raken ) hoeft hij alleen nog maar je telefoon te jatten.
Bij een gestolen bankpas denk je meteen aan blokkeren want dat kost geld bij een gestolen telefoon minder snel ( en hoeveel mensen raken hun telefoon in huis niet kwijt ). Ook een reeel scenario toch.
Zolang je 2 items ( password/code en een apparaat/pasje ) nodig hebt is het redelijk veilig te noemen.
100% veilig krijg je het toch niet maar een dief zal wel gek zijn om geld over te maken naar zijn bankrekening terwijl hij het ook kan pinnen en dus niet zo handig getraceerd kan worden.

Verwijderd schreef op dinsdag 25 januari 2011 @ 14:59:
[...]


Je maakt twee interessante opmerkingen. (1) Je hebt twee items nodig: pasje(+pin) en apparaat. De cruciale fout in dit systeem is dat iedereen dezelfde random reader heeft. (2) De dief zal wel niet zo gek zijn om... Het zijn geen normale, eerlijke mensen. Het gaat om mensen die het niet boeit dat jij tienduizenden euro's verliest. Ze zijn dus wel zo gek, creatief, risicozoekend. Of zoeken een katvanger, een zwerver waarvan niks te plukken valt en die het allemaal niet kan schelen.

Je hebt toch 2 items nodig, pin en pasje dat zijn er 2. Net zoals je bij pinnen pincode + pasje nodig hebt.
En ja het blijft te traceren leuk een katvanger en dan moet je nog steeds 10k overschrijven naar een andere rekening. Bovendien kom je dan bij de georganiseerde bendes uit en als iemand wil is alles te kraken. Bovendien zijn die zeker niet zo gek om het over te schrijven als ze ook gewoon 2.5k veilig kunnen jatten.

Het is een balans vinden tussen gebruikers gemak en beveiliging want die 2 sluiten elkaar uit. 100% veilig is niet te gebruiken, 100% gemak = geen wachtwoorden oid want die zijn lastig.

Leuk probleem. Ik heb hier ook wel eens over nagedacht, maar weet niet of er een simpele oplossing voor is.

DrivinUCrazy schreef op dinsdag 25 januari 2011 @ 14:17:
Zoals al vaker genoemd: als iemand jou je pasje en pincode ontfutselt, en vervolgens naar de pinautomaat gaat, ben je ook je geld kwijt. Gelukkig is hier wel een dag- en weeklimiet op gezet, zodat de schade beperkt blijft. Toch is er dan niet traceerbaar waar het geld heen is.

Toch maakt het nogal wat uit of ze een paar duizend euro van mijn betaalrekening kunnen plukken, of vele tienduizenden van mijn spaarrekening.

Je wil overstappen naar een bank die het beter geregeld heeft? Noem er eens een? Ik denk dat je eerder uitkomt op een dikke sok, of je spaargeld onder je matras te verstoppen.

Een spaarrekening bij een willekeurige andere bank zou al heel handig zijn. Dan kun je het pasje gewoon veilig thuis laten liggen. Maar dat is niet in het belang van de rabobank natuurlijk. Ik kan me wel voorstellen dat je de rekeningen kunt 'ontkoppelen', zodat je een betaalrekening+spaarrekening hebt (waarvan het pasje thuisligt) en een andere betaalrekening waarvan je de pas meeneemt. Geen idee of zo'n constructie mogelijk is, op dit moment kan ik met mijn beide passen bij alle rekeningen.

[ Voor 4% gewijzigd door Pooh op 25-01-2011 15:27 ]

Shadowhawk00 schreef op dinsdag 25 januari 2011 @ 15:04:
[...]
Het is een balans vinden tussen gebruikers gemak en beveiliging want die 2 sluiten elkaar uit. 100% veilig is niet te gebruiken, 100% gemak = geen wachtwoorden oid want die zijn lastig.

Tuurlijk is het zo dat er een balans gevonden moet worden tussen gebruiksgemak en veiligheid. Maar zou de balans zoveel omslaan als je voor je internetbankieren een extra username/wachtwoord nodig hebt?

De beveiliging is berust op 2 dingen
• Iets wat je bezit ( je pasje )
• Iets wat je weet ( je pincode/wachtwoord )

Echter gebruik je je pincode dermate veel, en bovendien op "onveilige" locaties, dat het een stuk minder geheim is dan een extra wachtwoord.

Wat dat betreft vind ik het systeem van de postbankING wel goed^*
• Iets wat je bezit ( je telefoon(nr) )
• Iets wat je weet ( Username/password )

^* helaas hebben ze de beveiliging daar een stuk slechter gemaakt door je wachtwoord te kunnen resetten via je telefoon. In feite heb je dus genoeg aan alleen de telefoon van een persoon ( + wat extra gegevens die eigenlijk niet geheim zijn ), en dus eigenlijk word de gebruikersnaam gebombardeerd tot het geheim, echter is dat gewoon makkelijk van je scherm mee te kijken, en er zit zelfs een vinkje dat je die kan bewaren . Het feit dat bovendien de gebruikersnaam wel case-sensitive is en het password niet bevestigd deze stupiditeit van de ING

[ Voor 4% gewijzigd door Woy op 25-01-2011 15:36 ]

Ik bedenk ineens dat er nog een veel simpelere oplossing is, die volgens mij gewoon geregeld kan worden: een extra pasje met een eigen pincode voor internetbankieren alleen. Kost je wel een paar euro per kwartaal extra.

Je internetbankieren-overeenkomst bestaat uit 1 persoon (bij een en/of rekening heb je dus 2 overeenkomsten nodig), 1 pas+pincode, en 1 of meerdere rekeningen. Je hoeft niet alle rekeningen te koppelen, maar je hoeft ook niet voor alle passen zo'n overeenkomst te hebben.

[ Voor 6% gewijzigd door Pooh op 25-01-2011 15:42 ]

SinergyX schreef op dinsdag 25 januari 2011 @ 14:14:
[...]

Iemand weet mijn pincode, heeft mijn pinpas en toevallig weet hij mijn 5 tekens wachtwoord. Hoe groot zal dan nog de kans zijn dat hij dan ook nog eens mijn login-name weet van hyves/hotmail/facebook?

Nee, juist andersom. Als het wachtwoord van je Facebook hetzelfde is als die van je bank, dan kan je een probleem hebben. Mensen houden niet van veel lange wachtwoorden, ze zullen dus vaker iets makkelijks bedenken. Of dus wachtwoorden herhalen. Daarom lijkt mij een systeem van eigen wachtwoord + 6 cijferige code als sms (ING) beter dan een systeem waar je een eigen wachtwoord + 4 cijfers van je pincode (SNS dus) hoeft te gebruiken.

Verwijderd schreef op dinsdag 25 januari 2011 @ 16:17:
Twee opmerkingen hierbij:
(1) Het is natuurlijk geen "oplossing" voor het fundamentele probleem, maar een "workaround" (die voor mij afdoende is).

Waarom is dit geen oplossing? Het is afdoende voor de mensen die extra veiligheid willen (het zou het voor mij ook zijn), en het is niet extra onhandig voor de mensen die gebruiksgemak boven veiligheid stellen.

(2) Ik vind het niet kunnen dat zowel pasjes, als pincodes via post verstuurd worden (weliswaar apart, maar toch). Maar ja, dat is weer een heel andere discussie.

Pasjes gaan niet gewoon 'per post', pasjes worden alleen via ID-controle uitgereikt. Overigens laat mijn rabobank op verzoek de pasjes gewoon ophalen bij de bank.

Uitgangspunt bij het hele betalingsverkeer is gemak en niet veiligheid voor de consument. Nog een voorbeeld: bedrijven die een bepaald contract hebben met de bank, kunnen van elke willekeurige rekening, elk willekeurig bedrag pikken. Als het niet klopt, mag je als particulier bij dat bedrijf maar zien je geld terug te krijgen. Daar zit geen controle op. Dit heb ik zelf jaren geleden meegemaakt toen een mobiele telefoonprovider zomaar 360 guldens van mijn rekening haalde. In eerste instantie wilde de bank mij niet eens helpen en moest ik het zelf maar regelen. Toen heb ik een zeer stevig gesprek moeten voeren.

Dat is niet helemaal waar. Een automatische incasso kun je altijd storneren. En als je als incasseerder teveel storneringen krijgt, heb je een levensgroot probleem en trekt de bank rustig de vergunning in. Banken zijn vreselijk streng als het om foute incasso's gaat, juist omdat er geen controle vooraf is.

Ik vind de magere beveiliging van veel banken inderdaad ook zorgwekkend. De pinpas/pincode beveiliging vind ik veel te mager omdat je deze combinatie iedere dag meerdere keren overal en nergens gebruikt. Het is dus een behoorlijk zwakke schakel.

Daarom vind ik het systeem van de ING ook zoveel beter: iets dat jij weet (username/password), maar wat je niet de hele dag aan het rondstrooien bent, en iets wat je hebt (telefoon). Het is inderdaad wel jammer dat ze de beveiliging opzettelijk slechter gemaakt hebben door resets via de telefoon mogelijk te maken.

Een combinatie van de systemen lijkt mij wel wat. Dus: gebruikersnaam/wachtwoord, telefoon en pinpas/pincode.

Verwijderd schreef op dinsdag 25 januari 2011 @ 16:17:
Uitgangspunt bij het hele betalingsverkeer is gemak en niet veiligheid voor de consument. Nog een voorbeeld: bedrijven die een bepaald contract hebben met de bank, kunnen van elke willekeurige rekening, elk willekeurig bedrag pikken. Als het niet klopt, mag je als particulier bij dat bedrijf maar zien je geld terug te krijgen. Daar zit geen controle op. Dit heb ik zelf jaren geleden meegemaakt toen een mobiele telefoonprovider zomaar 360 guldens van mijn rekening haalde. In eerste instantie wilde de bank mij niet eens helpen en moest ik het zelf maar regelen. Toen heb ik een zeer stevig gesprek moeten voeren.

Dit vind ik niet zo'n probleem omdat dit het betalingsverkeer eenvoudiger maakt maar wel het risico bij de bank neerlegt. Jouw voorbeeld is van jaren geleden en volgens mij doen de banken het nu wel netjes.

Brons schreef op dinsdag 25 januari 2011 @ 16:33:
Dit vind ik niet zo'n probleem omdat dit het betalingsverkeer eenvoudiger maakt maar wel het risico bij de bank neerlegt. Jouw voorbeeld is van jaren geleden en volgens mij doen de banken het nu wel netjes.

Bij ING kun je in ieder geval gewoon via het internetbankieren automatische incassos terugdraaien, en eventueel de tegenpartij blokkeren voor toekomstige incasso's

Als iemand met jouw internetbankieren aan de haal gaat dan moet hij het geld eerst nog overboeken naar een andere rekening. Als iemand met jouw pas+pincode gaan pinnen dan komt het geld uit de muur en is het niet meer te traceren. Bij internetbankieren kan jij en/of de bank nog zien waar het geld is heen gegaan en valt er misschien meer te redden.

Verwijderd schreef op dinsdag 25 januari 2011 @ 16:38:
Als iemand met jouw internetbankieren aan de haal gaat dan moet hij het geld eerst nog overboeken naar een andere rekening. Als iemand met jouw pas+pincode gaan pinnen dan komt het geld uit de muur en is het niet meer te traceren. Bij internetbankieren kan jij en/of de bank nog zien waar het geld is heen gegaan en valt er misschien meer te redden.

Dat noemden er al meerderen, maar zoiets kan knap lastig zijn en heel lang duren. Het hangt natuurlijk nogal af van de verhoudingen op je rekeningen, maar ik denk dat heel veel mensen het heel irritant vinden als hun lopende rekening wordt geplunderd tot max roodstand, maar daar verder prima bij slapen. Als echter een goedgevulde spaarrekening leeggehaald wordt, is dat een heel ander verhaal. Zelfs als je 't ooit terugkrijgt, zit je nog wel maanden met alle stress.

Waarom zou je geen pinpas gebruiken die gekoppeld is aan je internetrekeningen, en een aparte pinpas /rekening voor buiten de deur voor je dagelijkse geldverkeer? Kost je slechts een pas/rekening extra.

[ Voor 4% gewijzigd door begintmeta op 25-01-2011 16:44 ]

Verwijderd schreef op dinsdag 25 januari 2011 @ 16:52:
[...]


Amen

Prijs de heer, maar hoevaak heb je er al van gehoord dan (dat iemand dus ook zijn spaarrekening op 0 zag staan)?

[ Voor 12% gewijzigd door Jaspertje op 25-01-2011 16:59 ]

Verwijderd schreef op dinsdag 25 januari 2011 @ 16:45:
[...]


Een echte oplossing zou zijn als het standaard veilig was voor iedereen, zonder dat een klant zoals ik er zelf nog over na moet denken en dan actie ondernemen.

Stel je zou als bank klanten de keuze geven: "normaal" internetbankieren met alleen pasje+pincode of "extra veilig" internetbankieren door een extra wachtwoord te gebruiken. Zou me niks verbazen als 95% de extra veilige oplossing kiest. Naar mijn mening moet de bank hierover nadenken en niet de klant. Ik denk dat de klant die extra veiligheid wél graag heeft als je het uitlegt. Men is nu alleen onwetend en in de veronderstelling dat de bank het altijd wel oplost.

Je maakt je te druk. Het aantal fraudegevallen met internetbankieren is echt minimaal. Er is geen enkele reden voor de bank om het nog veiliger te maken, tenzij de klant dat per se wil. En die mogelijkheid bieden ze dus.

De laatste keer dat het bij mij voorkwam (ik schat twee jaar geleden) kwamen beiden per aangetekende post, eerst de pincode, later het pasje. Ik was niet thuis en toen ging iemand anders mijn pasje halen bij het postkantoor, op mijn verzoek. Dat lukte zonder problemen. Overigens kende die medewerker ons wel, maar toch... Ik had het zeer gerespecteerd als hij geëist had dat ik zelf zou komen. Maar ik geef toe: gemakzucht van mij.

Dat is een fout van het postkantoor, lijkt me. Mijn pasjes worden altijd verstuurd met de mededeling dat alleen ik persoonlijk kan tekenen met vertoon van mijn id.

Dat is wel mijn ervaring, overigens van 12 jaar of langer geleden.

Mijn ervaring (van beide zijden, zowel als consument als als incasseerder) is dat ze ook 12 jaar geleden al heel streng waren in zulke dingen. Maar misschien verschilt dat per bank.

@mry007: Je post nu heel vaak achter elkaar. Er staat niet voor niks een waarschuwing als je zelf als laatste gereageerd hebt. Je kunt dan gewoon je laatste bericht editen

Pooh schreef op dinsdag 25 januari 2011 @ 17:04:
[...]
Je maakt je te druk. Het aantal fraudegevallen met internetbankieren is echt minimaal. Er is geen enkele reden voor de bank om het nog veiliger te maken, tenzij de klant dat per se wil. En die mogelijkheid bieden ze dus.

Ik vind dat wel meevallen. De bank legt het risico in deze grotendeels bij de klant, dus dan mag er IMHO best een beetje over veiligheid nagedacht worden. Met een paar kleine wijzigingen die weinig invloed hebben op het gebruiksgemak kunnen ze het een stuk veiliger maken!

Dat is een fout van het postkantoor, lijkt me. Mijn pasjes worden altijd verstuurd met de mededeling dat alleen ik persoonlijk kan tekenen met vertoon van mijn id.

Het is misschien een fout van het postkantoor, maar het gebeurt dagelijks. Het is gewoon een feit dat die "beveiliging" verre van waterdicht is. Dus het is vreemd dat een bank daar dan zo blind op vertrouwd. Aan de andere kant sta je denk vrij sterk als daar misbruik van gemaakt word, want ze zullen dan niet jouw handtekening hebben, en dan is het aan de bank om te bewijzen dat jij het pasje/pincode hebt aangenomen.

[ Voor 71% gewijzigd door Woy op 25-01-2011 17:11 ]

Woy schreef op dinsdag 25 januari 2011 @ 17:07:
Ik vind dat wel meevallen. De bank legt het risico in deze grotendeels bij de klant, dus dan mag er IMHO best een beetje over veiligheid nagedacht worden. Met een paar kleine wijzigingen die weinig invloed hebben op het gebruiksgemak kunnen ze het een stuk veiliger maken!

Onzin, dat risico ligt helemaal niet bij de klant. Banken communiceren vaak nogal lomp, maar alle gevallen van skimming en fraude worden gewoon vergoed, tenzij de bank kan aantonen dat er sprake is van grove nalatigheid. En in een dorp waar nooit fietsen gejat worden knoop je toch ook geen Amsterdamse sloten aan je fiets? Als 't geen probleem is, is 't zo blijkbaar veilig genoeg.

Het is misschien een fout van het postkantoor, maar het gebeurt dagelijks. Het is gewoon een feit dat die "beveiliging" verre van waterdicht is. Dus het is vreemd dat een bank daar dan zo blind op vertrouwd. Aan de andere kant sta je denk vrij sterk als daar misbruik van gemaakt word, want ze zullen dan niet jouw handtekening hebben, en dan is het aan de bank om te bewijzen dat jij het pasje/pincode hebt aangenomen.

Geloof er helemaal niks van dat dat 'dagelijks' gebeurd. Heb toevallig afgelopen maanden een paar pasjes ontvangen, en voor elk daarvan heb ik moeten tekenen, werd mijn handtekening vergeleken met die op mijn paspoort, en werd mijn paspoortnummer ingevoerd in de (hand)computer. Dat waren 2 verschillende postbodes, plus een bezoek aan het postkantoor.

Pooh schreef op dinsdag 25 januari 2011 @ 17:18:
[...]
Onzin, dat risico ligt helemaal niet bij de klant. Banken communiceren vaak nogal lomp, maar alle gevallen van skimming en fraude worden gewoon vergoed, tenzij de bank kan aantonen dat er sprake is van grove nalatigheid.

Er hoeft zeker geen sprake te zijn van grove nalatigheid om de kosten bij de klant neer te leggen. Als er bekend is dat er geskimmed is, zal er inderdaad vergoed worden. Maar op het moment dat de pin-code afgekeken is, word de schuld al snel bij de klant neergelegd. Op zich zit daar ook wel wat in, want je moet je pin-code afschermen. Maar juist daarom zou het fijn zijn dat die code alleen voor betalingen met die pas gelden, en niet voor andere spaar-rekeningen die aan die pas gekoppeld zijn.

En in een dorp waar nooit fietsen gejat worden knoop je toch ook geen Amsterdamse sloten aan je fiets? Als 't geen probleem is, is 't zo blijkbaar veilig genoeg.

Als er blijkbaar nooit fietsen gejat worden, dan kan je net zo goed je fiets niet op slot zetten. Maar iedereen zal die kleine moeite nemen om toch zijn fiets op slot te zetten, om zo het risico nog verder te verkleinen. Hetzelfde geld hier. Door kleine aanpassingen kunnen ze het systeem een stuk veiliger maken, terwijl dit zo goed als geen afbreuk doet aan het gebruiksgemak. Dat lijkt me een win-win situatie.

Geloof er helemaal niks van dat dat 'dagelijks' gebeurd. Heb toevallig afgelopen maanden een paar pasjes ontvangen, en voor elk daarvan heb ik moeten tekenen, werd mijn handtekening vergeleken met die op mijn paspoort, en werd mijn paspoortnummer ingevoerd in de (hand)computer. Dat waren 2 verschillende postbodes, plus een bezoek aan het postkantoor.

Dat hij bij jou toevallig goed gaat is volgens mij eerder een uitzondering. Ik heb nog nooit mijn paspoort moeten laten zien bij het in ontvangst nemen van een aangetekende brief. Op een gegeven moment is door een fout van de bank zelfs mijn pasje naar het adres van mijn ouders gestuurd, en dus ook gewoon afgeleverd op een adres waar de geadresseerde niet eens woonde!

Hoe het verder met pasjes gaat kan ik niet goed zeggen, want die worden immers niet zo vaak verstuurd. Maar in mijn omgeving zie ik precies hetzelfde met pakketjes waar voor getekend moet worden. Die worden net zo goed bij de buren afgeleverd. Natuurlijk is het dan uiteindelijk niet jouw verantwoordelijkheid, maar het kan dus wel een hoop gezeur opleveren.

Ik denk al met al dat er op dit moment niet veel misbruik van gemaakt zal worden, en het is dus IMHO ook niet te verantwoorden om grote maatregelen te nemen die het gebruiksgemak fors verminderen, maar dat is ook niet het geval als je alleen een username/password nodig zou hebben om in te loggen op je internetbankieren. Desnoods kunnen ze dat nog optioneel maken, dan veranderd er helemaal niks voor de mensen die het niet nodig vinden, maar geeft het wel een extra veiligheid voor mensen die dat wel waarderen. Een PIN code is IMHO gewoon niet echt een heel erg groot geheim, want je gebruikt hem zo vaak, en op zo veel plekken dat er best de kans is dat hij een keer afgekeken word. Voor mijn betaalrekening vind ik dat wel een acceptabel risico ( Zeker met EMV betalingen, waardoor er niet zo snel meer geskimmed kan worden, het word hoog tijd dat ze de mangeet strip helemaal uitfaseren ), maar ik ben het wel met de TS eens dat het beter zou zijn als die gegevens niet de volledige toegang tot je internet bankieren zou geven.

Woy schreef op dinsdag 25 januari 2011 @ 18:49:
... . Maar iedereen zal die kleine moeite nemen om toch zijn fiets op slot te zetten, om zo het risico nog verder te verkleinen.

Maar niet iedereen neemt nu de kleine moeite zijn internetbankieren veiliger te maken.

[ Voor 5% gewijzigd door begintmeta op 25-01-2011 19:47 ]

Bij de Rabobank kan je bij de iDeal sub. de dirlist opvragen blijkt zo..


Is de normale url waar je een manual kan downloaden, maar wat als we dit nu eens doen.



Beetje snuffelen kan geen kwaad

Toch ben ik van mening dat een extra wachtwoord niet veel zal helpen. Er zijn namelijk ook genoeg verhalen van mensen die, onder bedreiging, zelf geld hebben gepind voor meneer (of mevrouw) de overvaller. Onder bedreiging van een vuurwapen zullen maar weinig mensen hun spullen en gegevens niet afgeven. Met de moderne techniek (en een handlanger) is het zelfs direct te controleren!

De eerste stap is gewoon ervoor te zorgen dat je pincode niet afgekeken kan worden. Hand erover en opletten op meekijkers. Wil je extra, extra, extra veiligheid, zorg dan, zoals al geschreven, voor een extra pas voor internetbankieren of neem een spaarrekening bij een andere bank.

Natuurlijk is het nooit 100% veilig, maar je snapt toch ook wel dat een wachtwoord voor internetbankieren, die je alleen in een besloten omgeving gebruikt, een stuk veiliger is als een pin-code die je constant in publieke omgevingen gebruikt. Natuurlijk moet je je hand voor het pinpad houden als je je pincode intypt, maar het kan altijd een keer voorkomen dat je je hand er niet goed voorhoud.

Onder dwang je wachtwoord afgeven, is toch wel wat anders dan dat er zonder je medeweten je pincode afgekeken word. Ik heb ook nooit beweerd dat het pincode/pas systeem totaal niet veilig is, maar ik ben wel van mening dat het een stuk veiliger word door gewoon een (optioneel) extra username/password te introduceren.

Het is niet zo alsof ik niet genoeg vertrouwen in het systeem heb dat ik het nu niet gebruik, maar als ik de mogelijkheid heb om het veiliger te maken, zonder dat het gebruiksgemak veel lager word, dan zou ik daar zeker gebruik van maken.

Ik neem ook aan dat de meeste mensen hier op got een redelijk veilig wachtwoord hebben, maar dat neemt niet weg dat voor de meeste mensen een simpel wachtwoord ook wel voldoet, want de kans dat het door iemand gekraakt word is redelijk klein. Door een moeilijker wachtwoord te kiezen maak je het iets moeilijker voor jezelf, maar een stuk moeilijker voor een eventuele kwaadwillende..

Zeker als het over grote bedragen gaat heb ik dat er graag voor over.

Woy schreef op dinsdag 25 januari 2011 @ 23:55:
Natuurlijk is het nooit 100% veilig, maar je snapt toch ook wel dat een wachtwoord voor internetbankieren, die je alleen in een besloten omgeving gebruikt, een stuk veiliger is als een pin-code die je constant in publieke omgevingen gebruikt.

Dan is een combinatie van PIN+pas+wachtwoord nog het best, omdat de computerbeveiliging van de meeste gebruikers ook te wensen overlaat. Ik snap verder wel waar je vandaan komt, maar ik snap niet helemaal hoe je een keer kunt vergeten je pin af te schermen. Ga je ook weleens zonder broek naar buiten? Laat je regelmatig de voordeur open als je weg gaat? Het is een kleine moeite waarvoor men gewoon de verantwoording zou moeten nemen, net als bij de broek en de deur.

Het is niet zo alsof ik niet genoeg vertrouwen in het systeem heb dat ik het nu niet gebruik, maar als ik de mogelijkheid heb om het veiliger te maken, zonder dat het gebruiksgemak veel lager word, dan zou ik daar zeker gebruik van maken.

Eens, maar dan zou ik persoonlijk gaan voor een extra pas. Een goed wachtwoord onthouden is ook niet eenvoudig voor de meeste mensen.

Salandur schreef op dinsdag 25 januari 2011 @ 13:31:
in dat opzicht werkt het oude postbank systeem goed met de tancodes. Je had een inlog + ww om in te loggen en om over te schrijven had je een tan code nodig. Deze code kreeg je of vooraf 100 per post of per stuk via de sms. In mijn ogen nog steeds een erg goed systeem en het zou geen kwaad kunnen als andere banken delen hiervan nu overnemen. Want inderdaad, op het moment dat je pas weg is en iemand je pincode weet dan kan deze vanalles bekijken via internet bankieren.

Werkte. Je leest steeds meer berichten dat GSM vrij simpel (en goedkoop) "af te tappen" is. Op zich ook logisch, het is een oude standaard, het zweeft door de lucht. Maar goed, je hebt ook nog een loginnaam en wachtwoord nodig (maar veel mensen internetbankieren ook wireless ) en je moet er heel snel bij zijn want die tancodes worden meteen gebruikt door de eigenaar van de rekening.

Marzman schreef op woensdag 26 januari 2011 @ 00:21:
[...]

Werkte. Je leest steeds meer berichten dat GSM vrij simpel (en goedkoop) "af te tappen" is. Op zich ook logisch, het is een oude standaard, het zweeft door de lucht. Maar goed, je hebt ook nog een loginnaam en wachtwoord nodig (maar veel mensen internetbankieren ook wireless ) en je moet er heel snel bij zijn want die tancodes worden meteen gebruikt door de eigenaar van de rekening.

Wireless heb je toch veel meer tijd aangezien je het best wel wat kan storen
Over dat wachtwoord gedoe, dat is nog de rede dat ik geen DigID heb ik heb nog geen goed wachtwoord kunnen bedenken dat ik ook kan onthouden. Een random tekenreeks onthoud ik nooit en een standaard woord is weer te makkelijk te kraken. En het mag ook niet hetzelfde zijn als mijn tweakers/facebook/hotmail wachtwoord.

Shadowhawk00 schreef op woensdag 26 januari 2011 @ 08:51:
[...]


Wireless heb je toch veel meer tijd aangezien je het best wel wat kan storen
Over dat wachtwoord gedoe, dat is nog de rede dat ik geen DigID heb ik heb nog geen goed wachtwoord kunnen bedenken dat ik ook kan onthouden. Een random tekenreeks onthoud ik nooit en een standaard woord is weer te makkelijk te kraken. En het mag ook niet hetzelfde zijn als mijn tweakers/facebook/hotmail wachtwoord.

Daar heb je programma's als keypass voor, daar zitten ook mijn wachtwoorden in voor het geval ik een blackout heb

Voor DigiD heb ik gewoon een paar wachtwoorden achter elkaar gegooid. En ik weet niet hoe het zit met alle DigiD dingen, maar bij DUO kon je de belangrijke dingen ook weer enkel veranderen als je ook SMS beveiliging geactiveerd had.


En waarom zal de ING de beveiliging verminderd hebben door het mogelijk te maken via je GSM je wachtwoord te resetten? Waarschijnlijk omdat de hoeveelheid gezeik met wachtwoorden die vergeten worden niet opweegt tegen de mindere beveiliging, oftewel weer een gevalletje beveiliging <> gebruikersgemak.

Dat is op zich een stap in de goede richting. Het zou nog veel mooier zijn als je zelf via internetbankieren eerst toestemming zou geven wie erbij mag. Maar dat maakt het voor de bedrijven die je geld willen lastig. Die moeten dan steeds mensen bewegen die actie uit te voeren, het controleren enz. En het hele systeem is erop gericht het voor hen (bank en zakelijke klant) zo makkelijk mogelijk te maken.

Wat een onzin, het hele systeem van automatische incasso's is dan wel niet het toppunt van veiligheid, het is wel het toppunt van gebruikersgemak voor juist de consument.

Ik ben dit jaar van zorgverzekering overgestapt, kon ik nu zo online doen door gevalletje in te vullen en klaar is kees. Bij jouw idee moet ik dan daarna eerst nog op internetbankieren inloggen en een nummer ofzo gaan invullen die gerelateerd is aan mijn nieuwe zorgverzekering zodat zij geld mogen afschrijven en mijn oude moet ik dan cancellen.
En als er iets fout wordt afgeschreven kan je het zo terug laten storten.

furby-killer schreef op woensdag 26 januari 2011 @ 10:15:
En waarom zal de ING de beveiliging verminderd hebben door het mogelijk te maken via je GSM je wachtwoord te resetten? Waarschijnlijk omdat de hoeveelheid gezeik met wachtwoorden die vergeten worden niet opweegt tegen de mindere beveiliging, oftewel weer een gevalletje beveiliging <> gebruikersgemak.

Omdat de beveiliging van:

- iets wat je hebt
- iets wat je weet

Naar:

-iets wat je hebt

Is teruggeschroefd. Het maakt het allemaal makkelijker maar dan kunnen ze net zo goed het gebruikersnaam/wachtwoord gedeelte weg laten, de telefoon is immers het cruciale gedeelte van internetbankieren geworden.

Brons schreef op woensdag 26 januari 2011 @ 10:29:
... de telefoon is immers het cruciale gedeelte van internetbankieren geworden.

Dat klopt toch niet helemaal meen ik, heb je niet nog wat extra gegevens (die op zich niet zo heel lastig te vergaren kunnen zijn) nodig voor het resetten?

[ Voor 189% gewijzigd door begintmeta op 26-01-2011 10:46 ]

furby-killer schreef op woensdag 26 januari 2011 @ 10:15:
En waarom zal de ING de beveiliging verminderd hebben door het mogelijk te maken via je GSM je wachtwoord te resetten? Waarschijnlijk omdat de hoeveelheid gezeik met wachtwoorden die vergeten worden niet opweegt tegen de mindere beveiliging, oftewel weer een gevalletje beveiliging <> gebruikersgemak.

Zoals Brons al zegt is de beveiliging in essentie terug gebracht to een 1-factor beveiliging. Als ik de optie had om de password retrieval via telefoon uit te zetten, en het alleen nog maar via de post te kunnen doen, zou ik dat direct doen. Ten eerste is de kans dat ik mijn password vergeet of te vaak verkeerd intyp erg klein, en ten tweede heb ik het kleine beetje ongemak niet opwegen tegen de extra security. Hoe vaak komt het nou voor dat je een nieuw wachtwoord moet opvragen? Mij is het in ieder geval nog nooit overkomen. Als ze het gebruikersgemak zo belangrijk vinden hadden ze IMHO gewoon de optie moeten geven om het uit te schakelen, dan is het je eigen keuze dat je niet direct een nieuw password kunt krijgen.

begintmeta schreef op woensdag 26 januari 2011 @ 10:40:
[...]

Dat klopt toch niet helemaal meen ik, heb je niet nog wat extra gegevens (die op zich niet zo heel lastig te vergaren kunnen zijn) nodig voor het resetten?

Zoals je zelf al aangeeft zijn die extra gegevens niet zo moeilijk te vergaren. Het zijn in principe geen geheime gegevens, en dus moet je daar ook niet op vertrouwen voor de veiligheid van het systeem. Het maakt misbruik natuurlijk wel iets moeilijker, maar het is eigenlijk security by obscurity, en het moge duidelijk zijn dat dat geen goed idee is.

[ Voor 21% gewijzigd door Woy op 26-01-2011 10:47 ]

Woy schreef op dinsdag 25 januari 2011 @ 18:49:
Dat hij bij jou toevallig goed gaat is volgens mij eerder een uitzondering. Ik heb nog nooit mijn paspoort moeten laten zien bij het in ontvangst nemen van een aangetekende brief. Op een gegeven moment is door een fout van de bank zelfs mijn pasje naar het adres van mijn ouders gestuurd, en dus ook gewoon afgeleverd op een adres waar de geadresseerde niet eens woonde!

Hoe het verder met pasjes gaat kan ik niet goed zeggen, want die worden immers niet zo vaak verstuurd. Maar in mijn omgeving zie ik precies hetzelfde met pakketjes waar voor getekend moet worden. Die worden net zo goed bij de buren afgeleverd. Natuurlijk is het dan uiteindelijk niet jouw verantwoordelijkheid, maar het kan dus wel een hoop gezeur opleveren.

Voor normale pakjes hoef je je ook niet te identificeren, een handtekening is voldoende, en dat mag iedereen doen die op het afleveradres woont. Voor pasjes (en andere belangrijke post) moet meestal een handtekening worden gezet door de geadresseerde zelf, moet diegene een geldig identificatiebewijs tonen, en wordt door de postbode het documentnummer van het paspoort oid overgeschreven bij de handtekening. Dit staat dan op een sticker die op de envelop zit. Als postbodes zich hier niet aan houden is dat een vrij ernstige overtreding waar ze volgens mij makkelijk voor ontslagen kunnen worden. Ik heb al eens op m'n flikker gehad enkel omdat een handtekening net buiten het vakje stond

Het systeem zoals dat nu wordt gebruikt is inderdaad zeker niet sluitend en er zijn allerlei manieren om met het huidige betaalsysteem diefstal te plegen. Wat je echter niet moet vergeten is dat dit vroeger vaak nog een stuk onveiliger was, toen kon je nog gewoon naar de bank bellen en vragen om geld over te boeken. Het enige wat er toen werd gedaan was even terugbellen, wat natuurlijk alleen de plaats waarvandaan gebeld wordt bevestigd.
Of met een overschrijvingskaartje het geld over maken, waarvan alleen maar de handtekening wordt gecontrolleerd. En iedereen had natuurlijk die boekjes gewoon in de kast staan (naast het chequeboekje :-) ). Bovendien merkte je pas een onterechte afschrijving op nadat je je 2 wekelijkse afschrift hebt ontvangen.
Volgens mij waren banken vroeger trouwens wel iets coulanter in het vergoeden van geleden schade.

Wat ik wil zeggen met dit verhaal is dat maatregelen nooit waterdicht zijn en het voor banken altijd een afweging is tussen de kosten en het risico. En misschien nog een puntje van gebruiksgemak. Hebben de meeste banken trouwens niet een maximum bedrag voor overboekingen met het reguliere internetbankieren?
Ik heb eigenlijk nog nooit gehoord van een geval waarbij de hele spaarrekening wordt leeggehaald van iemand waarvan de bankpas is gestolen.

Hoe vaak komt het nou voor dat je een nieuw wachtwoord moet opvragen? Mij is het in ieder geval nog nooit overkomen.

Dit is dus precies mijn punt wat jij compleet negeerd: Het gebeurd wel vaak, en daarmee valt jouw complete argument uit elkaar. Ik zelf hoef dat inderdaad ook nooit te doen, maar het punt is: waarom denk je dat de ING password retrieval via GSM inschakeld? (Ben mezelf nogal aan het herhalen, maar goed). Daar is maar één logische verklaring voor: het gezeik met mensen die hun wachtwoord vergeten waren was significant groter dan het nadeel van de mindere beveiliging nu. Oftewel mensen vergeten hun wachtwoord wel vaak (als dat nooit gebeurde had ING die wijziging nooit doorgevoerd).

GreatDictator schreef op woensdag 26 januari 2011 @ 17:48:
[...]


Voor normale pakjes hoef je je ook niet te identificeren, een handtekening is voldoende, en dat mag iedereen doen die op het afleveradres woont. Voor pasjes (en andere belangrijke post) moet meestal een handtekening worden gezet door de geadresseerde zelf, moet diegene een geldig identificatiebewijs tonen, en wordt door de postbode het documentnummer van het paspoort oid overgeschreven bij de handtekening. Dit staat dan op een sticker die op de envelop zit. Als postbodes zich hier niet aan houden is dat een vrij ernstige overtreding waar ze volgens mij makkelijk voor ontslagen kunnen worden. Ik heb al eens op m'n flikker gehad enkel omdat een handtekening net buiten het vakje stond

Dan verstuurd de postbank/ing de pasjes anders, want ik heb me nog nooit hoeven te identificeren om een bankpasje/creditcard in ontvangst te nemen.

furby-killer schreef op donderdag 27 januari 2011 @ 14:07:
[...]

Dit is dus precies mijn punt wat jij compleet negeerd: Het gebeurd wel vaak, en daarmee valt jouw complete argument uit elkaar. Ik zelf hoef dat inderdaad ook nooit te doen, maar het punt is: waarom denk je dat de ING password retrieval via GSM inschakeld? (Ben mezelf nogal aan het herhalen, maar goed). Daar is maar één logische verklaring voor: het gezeik met mensen die hun wachtwoord vergeten waren was significant groter dan het nadeel van de mindere beveiliging nu. Oftewel mensen vergeten hun wachtwoord wel vaak (als dat nooit gebeurde had ING die wijziging nooit doorgevoerd).

En het punt wat jij compleet negeert is dat ik voorstel om het password retrieval via telefoon optioneel te maken! Ik snap dat er genoeg mensen zijn die vergeetachtig zijn, en dus regelmatig hun password vergeten/verkeerd intypen. Het is dan de keuze van die mensen zelf dat ze wat veiligheid opofferen voor gemak. Maar voor mij, en een hoop mensen met mij, is het gewoon een bijna non-existent probleem, en dus wil ik daardoor op dat punt niet inboeten op veiligheid.

ReallyStupidGuy schreef op donderdag 27 januari 2011 @ 13:54:
Het systeem zoals dat nu wordt gebruikt is inderdaad zeker niet sluitend en er zijn allerlei manieren om met het huidige betaalsysteem diefstal te plegen. Wat je echter niet moet vergeten is dat dit vroeger vaak nog een stuk onveiliger was, toen kon je nog gewoon naar de bank bellen en vragen om geld over te boeken.

Het feit dat het vroeger nog minder veilig was is natuurlijk een non-argument. Het gaat er hier over wat er gedaan kan worden om het huidige systeem veiliger te maken, zonder grote aanpassingen.

Wat ik wil zeggen met dit verhaal is dat maatregelen nooit waterdicht zijn en het voor banken altijd een afweging is tussen de kosten en het risico. En misschien nog een puntje van gebruiksgemak.

Het is inderdaad een afweging tussen al die factoren, en het is inherent dat je soms op een vlak wat in moet boeten om op het andere vlak winst te behalen. IMHO word er op dit moment te veel naar het gebruiksgemak geleund, ten koste van de security. Als de bank de volledige verantwoordelijkheid voor die problemen zou nemen zou ik dat niet erg vinden, maar op dit moment is dat niet het geval

[ Voor 51% gewijzigd door Woy op 27-01-2011 14:26 ]

ReallyStupidGuy schreef op donderdag 27 januari 2011 @ 13:54:
Hebben de meeste banken trouwens niet een maximum bedrag voor overboekingen met het reguliere internetbankieren?
Ik heb eigenlijk nog nooit gehoord van een geval waarbij de hele spaarrekening wordt leeggehaald van iemand waarvan de bankpas is gestolen.

Eh als die limiet er is ben ik hem nog niet tegen gekomen en aangezien ik nooit dingen op afbetaling koop gaan er wel eens wat grotere bedragen over de lijn.
Wel is het zo dat bij de rabobank het aantal controlegetallen oploopt bij het bedrag maar als je al pas en pincode hebt is dat natuurlijk een formaliteit.
Als er al een limiet is zal dit voor veel mensen alsnog betekenen dat hun hele rekening leeggemaakt kan worden in 1 transactie. En anders doen ze er toch gewoon 2.

Ik meen dat de transactielimiet bij onze standaard-bank één miljoen € is.

[ Voor 25% gewijzigd door begintmeta op 27-01-2011 14:48 ]

Ik vind het systeem van de Rabobank anders heel goed. Ja inderdaad het hangt puur op je pasje en je pincode, maar dat doet alles. Bij een Rabobank-flappentap kan je met een Rabo-pas ook overboekingen doen tussen rekeningen die aan je contract hangen, net als online, dus het internetbankieren voegt geen extra onveiligheid toe.

Bankpasje heb je altijd bij je, de Random Reader misschien niet, maar er is vaak wel iemand anders in de buurt die wel zo'n ding bij zich heeft, wel zo makkelijk. Je kan ook bij een Rabo-filiaal binnenlopen en achter een publieke computer daar gaan zitten, liggen random readers bij, kan je zo ook je "online" bankzaken doen.

Mx. Alba schreef op vrijdag 28 januari 2011 @ 11:33:
Ik vind het systeem van de Rabobank anders heel goed. Ja inderdaad het hangt puur op je pasje en je pincode, maar dat doet alles. Bij een Rabobank-flappentap kan je met een Rabo-pas ook overboekingen doen tussen rekeningen die aan je contract hangen, net als online, dus het internetbankieren voegt geen extra onveiligheid toe.

Bankpasje heb je altijd bij je, de Random Reader misschien niet, maar er is vaak wel iemand anders in de buurt die wel zo'n ding bij zich heeft, wel zo makkelijk. Je kan ook bij een Rabo-filiaal binnenlopen en achter een publieke computer daar gaan zitten, liggen random readers bij, kan je zo ook je "online" bankzaken doen.

Dat is ook het probleem wat mensen hier met dat systeem hebben, zodra je pasje + code hebt kan je overal bij zonder limiet ( 1M is geen limiet voor de meeste )
Wat wel handig zou kunnen zijn is dat ze een SMS sturen als bedragen boven een bepaald bedrag hebt, aan te geven in persoon op een filiaal met een antwoordnummer waarmee je kan tegenhouden.
Zo van ="er zijn transacties met een totale waarde van yyyyy gedaan, SMS STOP naar XXXX om dit tegen te houden" mochten ze dan je pincode + pasje stelen en niet je gsm kunnen ze nooit veel overschrijven en ze weten ook niet hoeveel het bedrag is.

Zou wel een aardige functie zijn inderdaad. Er zijn ook banken die aanzienlijk veel lagere limieten hebben, bijvoorbeeld € 50000.

[ Voor 21% gewijzigd door begintmeta op 28-01-2011 11:40 ]

De Rabobank heeft die functie ook, je kan aanzetten dat je een SMS krijgt bij bepaalde bij- of afboekingen waarvan je de limiet zelf individueel kan instellen.

Kan je de boel dan eventueel nog blokkeren?

begintmeta schreef op vrijdag 28 januari 2011 @ 11:40:
Zou wel een aardige functie zijn inderdaad. Er zijn ook banken die aanzienlijk veel lagere limieten hebben, bijvoorbeeld € 50000.

Dat maakt voor pakweg 75% van de bevolking niets uit. Hoeveel mensen hebben er nu meer dan 50000 euro op een rekening staan. En dan nog vrij opneembaar.

Net bericht op telegraaf dat ze een hele bende ontmanteld hebben dit dit soort acties deed, maar die ging gewoon met mailtjes gegevens achterhalen van mensen.
Best handig truukje als je het geld maar verveeld in kleinere hoeveelheden kan je natuurlijk elk bedrag in 2x pinnen 23:50 en 00:10

begintmeta schreef op vrijdag 28 januari 2011 @ 12:02:
Kan je de boel dan eventueel nog blokkeren?

Om te blokkeren moet je dan bellen...

Neem een internet spaarrekening, daarop log je in met een gebruikersnaam en wachtwoord en deze rekening heeft een vaste tegenrekening.

Dus als iemand je pass jat, kunnen ze geen geld stelen want dat kan enkel naar jouw tegenrekening geboekt worden.

Wordt je pinpas gejat, dan kunnen ze er niet bij omdat ze geen login/pass hebben..

Nog een voordeel: Meer rente dan bij de rabo..

Het is gewoon huilen met de pet op.. pincode is zo 1980....
Techniek is tegenwoordig zo vernieuwend, waarom is er nog geen opvolger van de pincode??
Iris scan? of vinger afdruk??
In ieder geval een stuk moeilijker te kopieren..

Ik weet wel wat het is... de technieken zijn allemaal te duur om te implementeren..

Zelfde met creditcards... vooral in het buitenland, ene keer moet je een pincode ingeven en de andere keer niet.. Hoezo fraude gevoelig??? de afrekening krijg je toch pas een paar weken later dus ze kunnen er veel mee doen..

Niet alleen in het buitenland. Zelfs als je bij IKEA Amersfoort met een credit card betaalt moet je een handtekening zitten

Ik heb het idee dat het banken stomweg niets interesseert... Neem de Postbank (nu ING) die SMS-TAN-gebruikers wachtwoorden per SMS stuurt, waarmee diefstal van smartphone en portemonee genoeg is om je rekening te plunderen. Dat weten ze, en doen ze af met "maar dat geeft niet" (zie een topic en nieuwsbericht eerder op Tweakers).

Aan de andere kant zijn er volwassen (!) mensen in Nederland die hun handtekening (!) zetten voor het feit dat ze garanderen hun PIN-code, wachtwoord en TAN-codes aan niemand te vertellen. Toch zie ik volwassen mensen die hun kind van 5 de PIN-code laten intoetsen, en geven volwassen (!) mensen hele lijsten met TAN-codes af als daar in een email om gevraagd wordt. De banken vergoeden deze schade gewoon, om onrust te voorkomen. Ik zou heel graag zien dat stommiteiten of zelfs gewoon overtreding van de regels door volwassen mensen die daar nota bene voor getekend hebben, gewoon het eigen risico wordt, bij voorkeur gevolgd door een aanklacht wegens meewerken aan fraude. Nu gaan de pinpas-kosten elk jaar omhoog en verhalen banken de schade op alle klanten.

Hetzelfde probleem is er met de PINpas: het ding stelt niet meer voor dan een paar magneetjes in een stukje plastic, jarenlang wisten de banken de fraudebedragen geheim te houden, ondertussen is het 30 miljoen per jaar wat naar Roemenie gaat... Een "simpele" encryptie in een chip zou dit oplossen, maar dat kost de banken geld dus willen ze het niet.

Sowieso gebruik ik mijn pinpas zo weinig mogelijk, contant geld doet het altijd. Dat heeft nog een extra reden: banken weten dat ze miljoenen kunnen uitlenen/uitgeven "op papier" zonder een cent te hebben... Hoe meer mensen electronisch betalen, hoe beter het voor ze is. Echter, zodra ook maar 5% van de Nederlanders z'n geld daadwerkelijk wil opnemen, stort de bank in..... Een zeer vreemd piramidespel, maar blijkbaar legaal. Ok dit gaat offtopic.

furby-killer schreef op woensdag 26 januari 2011 @ 10:15:
En waarom zal de ING de beveiliging verminderd hebben door het mogelijk te maken via je GSM je wachtwoord te resetten? Waarschijnlijk omdat de hoeveelheid gezeik met wachtwoorden die vergeten worden niet opweegt tegen de mindere beveiliging, oftewel weer een gevalletje beveiliging <> gebruikersgemak.

ING had heel simpel 25 euro voor een passwordreset kunnen vragen. Nu doen ze voor de grote meute "klantvriendelijk" ten koste van de veiligheid. Alleen al dat je niet terug kan naar papieren TAN-lijsten (die ik gelukkig nog wel heb, waardoor ik geen SMSwachtwoord kan krijgen) zegt genoeg. Ze hopen kosten te besparen.

Verwijderd schreef op zaterdag 29 januari 2011 @ 10:16:
Het is gewoon huilen met de pet op.. pincode is zo 1980....
of vinger afdruk??
In ieder geval een stuk moeilijker te kopieren..

Vingerafdrukscanners werken aanzienlijk minder vaak.
Daarbij mag jij raden wat een straatrover met in de ene hand een mes en in de andere hand een snoeischaar met je gaat doen als-ie je portemonnee jat...

Mx. Alba schreef op zaterdag 29 januari 2011 @ 10:18:
Niet alleen in het buitenland. Zelfs als je bij IKEA Amersfoort met een credit card betaalt moet je een handtekening zitten

Een handtekening op CC is een prima beveiliging, als het personeel daadwerkelijk de handtekening zou controleren...

[ Voor 29% gewijzigd door RemcoDelft op 29-01-2011 10:34 ]

Ja maar als je met contant geld loopt en ik zet een mes op je keel ben je het toch ook kwijt? Ik denk dat de kans dat je pinpas gestolen en je bankrekening leeggetrokken wordt kleiner is dan dat je wordt overvallen.

RemcoDelft schreef op zaterdag 29 januari 2011 @ 10:25:
Een handtekening op CC is een prima beveiliging, als het personeel daadwerkelijk de handtekening zou controleren...

Bij IKEA doen ze dat wel, handtekening controleren. En ook ID-kaart controleren met naam op de credit card. Op zich is dat nog niet eens zo'n slechte beveiliging eigenlijk.

Het is drempelverhogend. Een neppe ID heb je al voor zo'n 200 euro.

Ik heb liever dat er wetgeving komt (internationaal) die aan webwinkels oplegt wat voor beveiliging ze minimaal moeten gebruiken bij het afhandelen en opslaan van creditcardgegevens. Een groot deel van de gestolen creditcardnummers komt namelijk niet alleen van skimmen, maar ook gewoon van webwinkels met slappe beveiliging.

Een jaar of 2 geleden heb ik zelf de proef op de som genomen. Een paar handig geformuleerde googlezoekopdrachten gaven honderden zo niet duizenden webwinkels die met de simpelst mogelijke SQL-injectie hun gehele database weggaven! NAW-gegevens, creditcardgegevens + CVV (!), alles.

Daarmee zeg ik absoluut niet dat er maar niks gedaan moet worden met de beveiliging waar het in dit topic over gaat, maar ik zou zeggen: Focus eerst de aandacht op de grote problemen, waar de grootste fraude wordt gepleegd. Laten we geen paniekvoetbal spelen omdat 0,1 promille van de Nederlandse bevolking zijn of haar bankrekening geplunderd ziet.

Sefyu schreef op zaterdag 29 januari 2011 @ 11:27:
Daarmee zeg ik absoluut niet dat er maar niks gedaan moet worden met de beveiliging waar het in dit topic over gaat, maar ik zou zeggen: Focus eerst de aandacht op de grote problemen, waar de grootste fraude wordt gepleegd. Laten we geen paniekvoetbal spelen omdat 0,1 promille van de Nederlandse bevolking zijn of haar bankrekening geplunderd ziet.

Creditcards zijn prima verzekerd tegen fraude, elke ober kan namelijk ook alle gegevens opslaan en benutten. Toch valt de fraude daarmee best mee.
Daarbij staan creditcards als internationaal systeem los van banken in Nederland.

Ik heb eigenlijk nooit begrepen waarom men internetbankieren als een webapplicatie heeft geïmplementeerd. De browser is ongeveer het kwetsbaarste stukje software wat gebruikt wordt. Een aparte applicatie biedt veel meer mogelijkheden om de beveiliging te verbeteren, zoals het draaien van de applicatie in een sandbox omgeving (of desnoods een browser in een sandbox omgeving).

Wat betreft beveiliging is het vaak een afweging tegenover gebruiksgemak. Het zou al schelen als het mogelijk was om het gebruik van internetbankieren te kunnen beperken op 1 pc of IP (dat wordt al lastiger met mensen die een dynamisch ip hebben), plus berichtgeving als iemand probeert in te loggen vanaf een andere lokatie. Daarnaast zou een overzicht van alle inlog pogingen zoals gmail ook heeft zeker een aanwinst zijn.

RemcoDelft schreef op zaterdag 29 januari 2011 @ 18:30:
[...]

Creditcards zijn prima verzekerd tegen fraude, elke ober kan namelijk ook alle gegevens opslaan en benutten. Toch valt de fraude daarmee best mee.
Daarbij staan creditcards als internationaal systeem los van banken in Nederland.

Zeggen dat fraude met creditcards wel meevalt is een heeeele grote leugen. Ik kan je uit eerstehands ervaring vertellen dat de fraude zeer grootschalig is en dat de bedragen in de miljarden per jaar loopt (internationaal, maar vooral in de VS en Europa).