Security van ING internetbankieren

Zijn er wel wachtwoordeisen? minimaal aantal tekens en cijfers?

Van de ING site

Kies een veilig wachtwoord

Gebruik letters, leestekens en minimaal 1 cijfer
Gebruik minimaal 8 en maximaal 20 karakters
Kies een ander wachtwoord dan uw gebruikersnaam en uw vorige wachtwoord
U kunt kiezen uit de volgende karakters:
Cijfers: 0 t/m 9
Letters: a t/m z
Leestekens: punt (.), koppelteken (-), liggend streepje (_) en uitroepteken (!)
Overige tekens: @, #, $ en %
Tips
Wijzig uw wachtwoord regelmatig en kies een wachtwoord dat moeilijk te raden is voor anderen.
Bedenk een zin en gebruik van elk woord de 1e letter. Bijvoorbeeld de 1e regel van een kinderliedje: 'Ik zag 2 beren broodjes smeren!'. Combineer dit met cijfers en leestekens. Uw wachtwoord wordt dan: '#iz2bbs!'. Belangrijk: Kies dit voorbeeld niet als wachtwoord.

Oud nieuws:

http://webwereld.nl/nieuw...ge--wachtwoordadvies.html

Misschien voor lezers van webwereld oud nieuws, maar op Tweakers is vziw het nooit verschenen.

Ik sta er wel bijhoorlijk verbaast van dat ING dit niet in orde heeft. Is toch regel nummer 1 bij passwords.

Ik weet niet waarom we dit indertijd hebben afgeschoten, maar we gaan er in elk geval geen nieuwsartikel meer aan besteden. Verder had het best in de submit gekund:

quote: http://gathering.tweakers...list_messages/1443594#sub

Als je geen linkje hebt - bijvoorbeeld omdat je nog niet online hebt gezet dat je koude kernfusie aan de praat hebt - mag je ook een neplinkje invullen.

YouTube: ‪Cat and Dolphins playing together‬‏ - YouTube of zo

Rataplan schreef op donderdag 04 augustus 2011 @ 12:30:
Ik weet niet waarom we dit indertijd hebben afgeschoten...

Omdat het destijds ook geen nieuws was Kan het hoofdletterbeleid beter daar? Jazeker. Maakt het dat nieuws? Wmb dus niet Instellingen en sites die alleen wachtwoorden accepteren met a-z en 0-9 vind ik veel kwalijker, maar ook dat is geen nieuws (meer).

[ Voor 17% gewijzigd door Wilbert de Vries op 04-08-2011 22:43 ]

Waarom was het destijds geen nieuws? Het lijkt me toch een stevige bug in de code. Immers, gezien de tekst op de website, zou je mogen verwachten dat de passwords case sensitive zijn. (Sowieso zou dat altijd het geval moeten zijn bij passwords van een bank.)

Er staat dan ook niet dat je hoofdletter(s) MOET gebruiken.

en dat het password beleid zo brak is heeft alles te maken met de achterliggende systemen bij ING internetbankieren.

tes_shavon schreef op donderdag 04 augustus 2011 @ 11:45:
De wachtwoorden van ING internetbankieren zijn niet case-sensitive.

Correct. De gebruikersnaam daarentegen wel Als je de ING hierover aanspreekt steken ze een verhaal af dat het de normaalste zaak van de wereld is overigens. Dat het helemaal niet normaal is om moeite te doen om een wachtwoord onveilig te maken, lijken ze niet te beseffen.

Ik mis nog steeds een goede onderbouwing waarom een wachtwoord met een beperktere karakterset (zeg 26 karakters minder) in een omgeving als dat van Mijn ING nu zo significant onveiliger zou zijn dan wanneer er wel onderscheid werd gemaakt tussen hoofdletters en kleine letters. Zonder zo'n onderbouwing kun je maar beter geen nieuwsbericht erover schrijven.

MueR schreef op vrijdag 05 augustus 2011 @ 15:22:
[...]

Correct. De gebruikersnaam daarentegen wel Als je de ING hierover aanspreekt steken ze een verhaal af dat het de normaalste zaak van de wereld is overigens. Dat het helemaal niet normaal is om moeite te doen om een wachtwoord onveilig te maken, lijken ze niet te beseffen.

Inderdaad beetje waardeloos, daarin tegen als er ooit iets gebeurd en ze betalen het prima terug dan ga ik niet klaagen.

TS heeft zeker een punt. Bovendien is er een sterk vermoeden dat ING de passwords in plaintext opslaat, omdat anders de case-insensivity lastig te verklaren is. Want bij een password-change wordt een nieuw password met slechts een casechange wel geaccepteerd en niet verworpen.

Dit naar aanleiding van een discussie in :
Verdachte dingen bij inloggen op mijn.ing.nl

Verder wil ik hier inhoudelijk niet al te veel op ingaan, omdat het daarvoor hier niet de juiste plaats is imo.

Henk007 schreef op zaterdag 06 augustus 2011 @ 01:13:
TS heeft zeker een punt. Bovendien is er een sterk vermoeden dat ING de passwords in plaintext opslaat, omdat anders de case-insensivity lastig te verklaren is. Want bij een password-change wordt een nieuw password met slechts een casechange wel geaccepteerd en niet verworpen.

Dat is inderdaad een beetje vaag. Maar wellicht wordt er een vergelijking gemaakt tussen het ingegeven "oude" wachtwoord en het ingegeven "nieuwe" wachtwoord, waarbij wordt geconstateerd dat deze verschillen. Vervolgens wordt het oude wachtwoord in hoofdletters gecontroleerd, en als deze correct is, het nieuwe wachtwoord in hoofdletters gezet en versleuteld opgeslagen. Wat de logica daarvan ook mag zijn.

Of misschien wordt er een extra factor toegevoegd in het versleutelingsproces, bijvoorbeeld of het wachtwoord uit een even of een oneven aantal hoofdletters bestaat. Dan zou één hoofdletter een verschil maken (maar twee, vier en zes niet). Het is maar wat gespeculeer, het lijkt allemaal niet zo logisch, gewoon om aan te geven dat er mogelijkheden zijn en dat er niet te snel conclusies kunnen worden getrokken.

[ Voor 20% gewijzigd door haribold op 06-08-2011 13:06 ]