Mijn ING ~ Eigen verantwoordelijkheid of beveiligingsfout? - Privacy en beveiliging

zaterdag 3 januari 2015 12:04

Acties:

0 Henk 'm!

youtube.com/@hisrep

Topicstarter

Hey,

ik kwam er eergister achter dat er nogal iets vreemds plaats vindt op de Mijn ING website. De ING klanten kennen het inlogsysteem wel, gebruikersnaam kan op http://mijn.ing.nl eventueel bewaard worden, het wachtwoord niet. Logisch natuurlijk. Maar nu:
omdat ik in het buitenland zat en een bedrag dat hoger was dan €1000 moest overmaken kon dat niet met de app. Dus probeerde ik eens in te loggen binnen de browser op mijn.ing.nl en zowaar lukt dat ook gewoon. Tot zover alles prima.

Maar:
toen ik de volgende dag nog eens op die website kwam zag ik iets vreemds: mijn gebruikersnaam én wachtwoord stonden al ingevuld in de site. Dit terwijl ik expres zelfs de gebruikersnaam niet op laat slaan. Verbaasd probeerde ik in te loggen en dit lukte nog ook! Ik heb het daarna diverse keren geprobeerd op verschillende dagen en steeds lukt het. Behoorlijk gevaarlijk, aangezien je via SMS naar dezelfde telefoon waar je op zit een TAN code krijgt toegestuurd. Dus iemand die een telefoon jat, doet er slim aan even te kijken of de gebruiker toevallig mijn.ing.nl weleens bezocht heeft. Vervolgens kan je inloggen (wachtwoord wordt immers bewaard) en krijg je op die telefoon een TAN code toegestuurd om een overschrijving te doen. Kortom je kan iemands bankrekening leeghalen zodra je toegang hebt tot zijn of haar telefoon.

Nu is mijn vraag: is dit iets browser/telefoonspecifieks (ik heb een Lumia 925 met WP 8.1) of werkt dit op elke mobiele telefoon zo? En nog erger: gaat dit ook op voor tablets? Desktopbrowsers onthouden het wachtwoord (en ook gebruikersnaam) iig niet. Ik hoop dat wat mensen dit eens voor me willen uitproberen.

De Klantenservice van ING doet heel nonchalant ("even uw internet cache en wachtwoorden wissen") maarja dat is nogal omslachtig en bovendien vervelend als je veel passwords van andere sites wél wil bewaren. Bottom line: is dit nou mijn eigen verantwoordelijkheid of gewoon een beveiligingsfout/slordigheid in de website van ING dat hij op mobiele devices (misschien?) ww/gebruikersnaam gewoon bewaart? Ben benieuwd wat jullie hiervan denken.

youtube.com/@hisrep

zaterdag 3 januari 2015 12:41

Acties:

0 Henk 'm!

jan99999

Je maakt zelf een zeer grote fout, door tan code en telefoon, samen te laten komen.
Gebruik een aparte apparaat(pc/tablet) voor internet bankieren en telefoon alleen voor de code.
2 way verification, via 2 apparaten, dan ben je veiliger.

Of,(minder veilig)
Misschien kun je firefox installeren, en dan direct alle inlog/wachtwoorden wissen, en firefox alleen voor de bank gebruiken.
Beter is toch apart houden.

zaterdag 3 januari 2015 12:54

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Kijk dat het niet handig is snap ik, normaal gebruik ik de app ook en dan voorkom je dat probleem. Maarja er zijn scenarios waarin je dit toch wil doen (bijv. ivm betaallimiet van de app) en dan vind ik het wel een slordige fout dat ING op de telefoonbrowser gewoon het wachtwoord en gebruikersnaam niet leegt. Zonder waaschuwing!
Waarom kan dat wel op een desktopbrowser (wachtwoord bewaren is daar niet eens mogelijk) maar niet op een mobiele browser? Juist daar is het gevaarlijker..
Ben nu dus ook benieuwd hoe het op tablets is, hoop mensen zullen die toch ook gebruiken om in te loggen op de website.

[ Voor 13% gewijzigd door DeNachtwacht op 03-01-2015 12:56 ]

youtube.com/@hisrep

zaterdag 3 januari 2015 12:56

Acties:

0 Henk 'm!

Osxy

Holy crap on a cracker

Dat is iets wat de browser doet, niet de website.

De fout ligt dus zeker niet bij ING maar bij (in de geval) Windows Mobile / de gebruikte browser.

"Divine Shields and Hearthstones do not make a hero heroic."

zaterdag 3 januari 2015 13:01

Acties:

0 Henk 'm!

nachtnet

Waarschijnlijk heb je de eerste dag niet op uitloggen gedrukt? en is er een cookie bewaard.

heb je uberhaupt de browser afgesloten gehad tussen dag 1 en het 2e bezoek?

Wat ik lees is het echt een browser of gebruikers instelling geweest.

[ Voor 19% gewijzigd door nachtnet op 03-01-2015 13:03 ]

zaterdag 3 januari 2015 13:53

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Ik heb gewoon keurig uitgelogd via de knop uitloggen. Meerdere malen geprobeerd. Daarom vind ik het zo vreemd. Zelfs op een site waarbij je het wachtwoord hebt opgeslagen in je desktopbrowser (bijv. tweakers) moet je dan als je de site opnieuw bezoekt inloggen.

Het vreemde vind ik dat in Chrome op de desktop bijvoorbeeld het niet eens mogelijk is om dat wachtwoord te bewaren bij de ING site. Waarschijnlijk omdat ING dat op 1 of andere manier gedisabled heeft, de bank inlog pagina is niet hetzelfde als bijv. de inlog van tweakers. Dus waarom kan dat op het potentieel gevaarlijkste apparaat (je mobiel) dan wel?

[ Voor 28% gewijzigd door DeNachtwacht op 03-01-2015 14:03 ]

youtube.com/@hisrep

zaterdag 3 januari 2015 17:05

Acties:

0 Henk 'm!

robbinonline

Dit uiteraard niet de verantwoording van de ING. Blijkbaar staat er op jou telefoon iets aan wat je gebruikersnaam en wachtwoord opslaat en automatische invult, dit kan je wat mij betreft niet de verantwoording van de ING vinden.

Ga niet uit van het haalbare, maar van het denkbare

zaterdag 3 januari 2015 17:08

Acties:

0 Henk 'm!

Aionicus

Zoals je je verhaal beschrijft heb je gewoon in je browser van je telefoon wachtwoord opslaan aangevinkt , als je de standaard of chrome gebruikt is het logisch dat hij het onthoud , is een bekend voorkomend iets.

Bij opera/opera mini moet je het vaak nog wel expliciet aangeven.

gewoon een user instelling in de browser.

Hier kan ing ook niets aan doen , geen enkele website kan hier wat aan doen eigenlijk , zelfs als je zou aangeven dat hij het terugzet naar "" overschrijft de browser die instelling toch wel en dumpt het gewoon neer.

[ Voor 27% gewijzigd door Aionicus op 03-01-2015 17:09 ]

zaterdag 3 januari 2015 18:39

Acties:

0 Henk 'm!

Rukapul

ING handelt hier wel laakbaar onverantwoord maar op een andere manier dan topicstarter denkt.

Dat dat wachtwoord toch bewaard blijft komt door een ondoordachte browser feature.

Echter ING zou ten alle malen moeten voorkomen dat het mobiele transacties accepteert van mobiele apparaten waar het ook de TAN codes per SMS stuurt. Of andersom natuurlijk: weigeren om een TAN code te sturen.

Natuurlijk is bovenstaande bepaald niet triviaal aangezien vanuit een mobiele web browser niet te bepalen is of toevallig een SIM in zit met het nummer waar de TAN codes naar toegestuurd worden. Echter, in een dergelijk geval dient ING uit hoofde van haar zorgplicht het zekere te kiezen en bijvoorbeeld alle browsers die zich laten identificeren als mobiel (SIM) apparaat te weigeren met een ondubbelzinnige waarschuwing.

Het alternatief is natuurlijk dat ING afstapt van de TAN-over-SMS methode omdat de tijd het heeft ingehaald. Dit zou ik persoonlijk jammer vinden, maar professioneel bijna noodzaak.

Het feit wil echter dat ING helemaal niet om de klant geeft. Als er een paar knaken bespaard kunnen worden dan laten ze het niet na. Zie ook [Risico] Aanpassing wachtwoord-retrieval MijnING.nl. Beetje hetzelfde al met skimmen van vroeger: de klant kreeg standaard de schuld en pas op het moment dat de bank het echt niet langer kon volhouden werd er 'coulance' toegepast op iets wat gewoon een systeemfout betrof.

Bottomline: nooit en te nimmer je mobiel gebruiken voor online bankieren met ING.

zaterdag 3 januari 2015 19:53

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Aionicus schreef op zaterdag 03 januari 2015 @ 17:08:
Zoals je je verhaal beschrijft heb je gewoon in je browser van je telefoon wachtwoord opslaan aangevinkt , als je de standaard of chrome gebruikt is het logisch dat hij het onthoud , is een bekend voorkomend iets.

Bij opera/opera mini moet je het vaak nog wel expliciet aangeven.

gewoon een user instelling in de browser.

Hier kan ing ook niets aan doen , geen enkele website kan hier wat aan doen eigenlijk , zelfs als je zou aangeven dat hij het terugzet naar "" overschrijft de browser die instelling toch wel en dumpt het gewoon neer.

Dat is dus pertinent niet waar. Probeer maar eens op je PC in Chrome je wachtwoord van mijn.ing.nl op te slaan. Dat lukt je niet. In tegenstelling tot een site als tweakers.net of een ander forum kan ING dus kennelijk disablen dat Chrome een wachtwoord opslaat. Zelfs al zou je het als gebruiker willen op de PC kan het niet.

Daarom vind ik het zo vreemd dat het juist op de smartphone waar ik mijn TAN codes ontvang wél gebeurt, zelfs als ik expliciet aangeef het niet te willen. Ligt dit aan Internet Explorer 11 dan? Is het op de PC daar ook gewoon mogelijk? Zonder enige waarschuwing blijft alles gewoon bewaard staan. Ik vind het zelf behoorlijk risicovol...

[ Voor 3% gewijzigd door DeNachtwacht op 03-01-2015 19:55 ]

youtube.com/@hisrep

zaterdag 3 januari 2015 20:01

Acties:

0 Henk 'm!

Baserk

Om het even duidelijk te krijgen, op je Lumia met WP 8.1 en Internet Explorer, waarbij je in IE opgeeft om geen wachtwoorden op te slaan, blijkt je wachtwoord van ING wel opgeslagen te worden.
Gebeurt dit als je IE ook echt hebt afgesloten na de ING-sessie (Pijltje naar links/Back/Terug ingedrukt houden en IE afsluiten door op het kruisje rechtsboven te drukken).
Of gebeurt dit als je een ING-sessie tab hebt gesloten, een andere tab opent en later weer een ING-sessie tab opent, dus zonder IE helemaal af te sluiten?

Iemand anders die dit kan reproduceren?

Romanes eunt domus | AITMOAFU | Cognitive Dissonance is a B*tch

zaterdag 3 januari 2015 20:02

Acties:

0 Henk 'm!

Osxy

Holy crap on a cracker

Dat ze een mooie truuk hebben gevonden waardoor het op Chrome op je vaste PC niet lukt is heel mooi maar neemt nogsteeds niet weg dat het een fout van je browser is en niet van ING.

Hoewel, Rukapul heeft een goed punt, en ik was in de overtuiging dat dit ook zo was, dat de normale website niet toegankelijk zou moeten zijn op platformen waar een App voor bestaat.

"Divine Shields and Hearthstones do not make a hero heroic."

zaterdag 3 januari 2015 20:38

Acties:

0 Henk 'm!

incaz

Nou ja, truc, het is gewoon een html5-attribute: http://www.w3.org/wiki/HTML/Elements/input/text
Geen hogere school security, maar het zou inderdaad wel beveiligen tegen dergelijke zaken. Op mijn.ing.nl op desktop staat dat aan, en ook de inputfields worden gerandomiseerd zo te zien. En het lijkt erop dat er aan de mobiele browser ook gewoon hetzelfde form geserveerd wordt - dus mogelijk dat mobiele browsers de autocomplete=off-setting niet respecteren. En het kan ook zijn dat er iets misgaat met de cache headers, maar dat heb ik niet nagekeken.

Verder wel een groot probleem om passwords en tans vanaf dezelfde telefoon te doen, da's duidelijk. Van de andere kant is er geen manier voor ing om dat te detecteren.

Maar als je nieuws: 'Mobiele gesprekken en sms'jes eenvoudig te tappen door buggy ss7-protocol' gelezen hebt, is het wel duidelijk waarom TAN via SMS gewoon uberhaupt geen goed idee meer is.

Never explain with stupidity where malice is a better explanation

zaterdag 3 januari 2015 20:53

Acties:

0 Henk 'm!

Beneveerg

Ik heb het even uitgetest voor je op mijn Windows Phone.

Allereest heb ik de geschiedenis en opgeslagen wachtwoorden verwijderd. Vervolgens ben ik naar mijn.ing.nl gegaan en ben hier ingelogd. Ik kreeg de vraag of ik het wachtwoord wilde opslaan en of ik dit voor alle websites wilde opslaan. Ik heb dit vinkje niet aangevinkt en heb gekozen voor NEE.

Wederom de geschiedenis verwijderd en eerst naar een willekeurige andere website gegaan en ingelogd. Ik kreeg dezelfde vraag en koos voor toepassen op alle websites en JA. Daarna ben ik naar mijn.ing.nl gegaan en heb ingelogd. Vervolgens uitgelogd en terug gegaan naar mijn.ing.nl. Het wachtwoord werd inderdaad samen met de gebruikersnaam onthouden.

Ik denk dat je dit vinkje ooit hebt aangevinkt. Dit is dus browser gedrag en niet de fout van de ING. Mijn advies is om niet 2 authenticatie methode op het zelfde apparaat te gebruiken. (Je plakt ook geen briefje met pincode op je pinpas).

Wil je per se op het zelfde device inloggen, gebruik dan de in private mode van de browser. Hierdoor wordt het wachtwoord en de gebruikersnaam niet opgeslagen en voorkom je dit probleem. Maar nogmaals, gebruik liever een ander apparaat dan waar je je tancodes op ontvangt.

Het leven is te kort om te testen

zaterdag 3 januari 2015 21:10

Acties:

0 Henk 'm!

Baserk

Beneveerg schreef op zaterdag 03 januari 2015 @ 20:53:
Ik heb het even uitgetest voor je op mijn Windows Phone.
...

Ah, dus toch waarschijnlijk door een beslissing van de gebruiker. Dank voor je moeite.

Romanes eunt domus | AITMOAFU | Cognitive Dissonance is a B*tch

zaterdag 3 januari 2015 21:10

Acties:

0 Henk 'm!

BLACKfm

o_O

Gewoon fout van de gebruiker, wordt je telefoon gejat en je bankrekening geplunderd dan ben je gewoon je geld kwijt wegens nalatigheid.

Gegevens worden bewaard door je telefoon, als je dat niet wilt moet je (omslachtig of niet) maar gewoon de boel whipen als je klaar bent met internetbankieren of de juiste vinkjes aan/uit zetten of een andere browser gebruiken die er wel goed mee omgaat. Simpeler kunnen we het niet maken.

Er zal vast wel een app zijn (en anders laat je die ontwikkelen) die de nodige gegevens kan wissen met 1 druk op de knop.

[ Voor 9% gewijzigd door BLACKfm op 03-01-2015 21:11 ]

Litebit.eu voorraad check :).

zaterdag 3 januari 2015 21:57

Acties:

0 Henk 'm!

incaz

Beneveerg schreef op zaterdag 03 januari 2015 @ 20:53:
Wederom de geschiedenis verwijderd en eerst naar een willekeurige andere website gegaan en ingelogd. Ik kreeg dezelfde vraag en koos voor toepassen op alle websites en JA. Daarna ben ik naar mijn.ing.nl gegaan en heb ingelogd. Vervolgens uitgelogd en terug gegaan naar mijn.ing.nl.

Dat klinkt toch alsof mobiele browsers daar iets zorgvuldiger in zouden mogen zijn.

BLACKfm schreef op zaterdag 03 januari 2015 @ 21:10:
Gewoon fout van de gebruiker,

Waar komt die wens toch vandaan om dat soort dingen altijd op de gebruiker af te wentelen als de problemen over allerlei lagen verdeeld zijn, en de gebruiker degene in de keten is met de minste kennis van zaken? Waarom zijn we zo snel met het wijzen naar de gebruikers, maar niet naar bv de ING die nog steeds het onveilige tan-systeem hanteert, of de browser, die het wel heel erg laagdrempelig maakt om het vinkje een keer ongemerkt om te zetten? (Je hoeft het maar 1 keer fout te doen.)

Never explain with stupidity where malice is a better explanation

zaterdag 3 januari 2015 22:02

Acties:

0 Henk 'm!

orf

OSX laat tegenwoordig je SMS-berichten van je iPhone zien. Daardoor is op OSX de two-factor er niet meer. Dat is ook best zorgelijk omdat daarmee de deur open staat voor malware die de 'berichten'-app uitlezen en de HTML van de Mijn ING manipuleren.

zaterdag 3 januari 2015 22:08

Acties:

0 Henk 'm!

CyBeR

💩

orf schreef op zaterdag 03 januari 2015 @ 22:02:
OSX laat tegenwoordig je SMS-berichten van je iPhone zien. Daardoor is op OSX de two-factor er niet meer.

Jawel.

Two-factor authenticatie gaat namelijk om het voorkomen van een man-in-the-middle-aanval, zodat een eventueel achterhaald wachtwoord niet genoeg is. En die SMS wordt nog steeds out-of-band verstuurd, dus iemand die in het netwerk zit kan nog altijd niks met de verkregen gegevens.

Iemand die in je computer zit kan ook gewoon wachten tot je zelf ingelogd bent en daarna je cookie stelen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 3 januari 2015 22:10

Acties:

0 Henk 'm!

Moi_in_actie

Even iets tussendoor, maar heb je de betaling niet via de app gedaan puur vanwege de 1000 euro limiet? Deze limiet kun je namelijk in de app (de Android versie iig) bij Instellingen wijzigen tot maximaal 5000 euro per dag.

Ryzen 9 9950X3D ~~ 32GB GSkill TridentZ 6000Mhz ~~ ASRock B850M Steel Legend ~~ Powercolor Hellhound RX9070XT

zaterdag 3 januari 2015 22:13

Acties:

0 Henk 'm!

orf

CyBeR schreef op zaterdag 03 januari 2015 @ 22:08:
[...]

Jawel.

Two-factor authenticatie gaat namelijk om het voorkomen van een man-in-the-middle-aanval, zodat een eventueel achterhaald wachtwoord niet genoeg is. En die SMS wordt nog steeds out-of-band verstuurd, dus iemand die in het netwerk zit kan nog altijd niks met de verkregen gegevens.

Iemand die in je computer zit kan ook gewoon wachten tot je zelf ingelogd bent en daarna je cookie stelen.

Door een cookie te stelen kun je geen transactie autoriseren. Malware kan inloggen (op basis van een willekeurige eerdere inlog), een transactie uitvoeren en vervolgens de SMS onderscheppen waardoor de transactie uitgevoerd wordt.

Op mobiel wordt de SMS ook via een ander protocol verstuurd en is een SMS niet te onderscheppen met een MitM. toch?

zaterdag 3 januari 2015 22:14

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Beneveerg schreef op zaterdag 03 januari 2015 @ 20:53:
Ik denk dat je dit vinkje ooit hebt aangevinkt. Dit is dus browser gedrag en niet de fout van de ING. Mijn advies is om niet 2 authenticatie methode op het zelfde apparaat te gebruiken. (Je plakt ook geen briefje met pincode op je pinpas).

Ik heb wachtwoord bewaren standaard aan staan, maar op de site NIET aangevinkt bewaar gebruikersnaam. Omdat op de PC dan ook standaard niets wordt bewaard is het heel onlogisch (en onveilig!) dat er zonder een waarschuwing gewoon het wachtwoord én gebruikersnaam wel bewaard worden. Als ik de reacties zo lees zou het een browserfout kunnen zijn: IE11 op WP8.1 respecteert dan kennelijk niet het autocomplete off commando. Maar alsnog zou ik dan als ING eieren voor het geld kiezen. 2 mogelijkheden:
- de gebruikers bij uitloggen op de site extra waarschuwen vanaf mobiele devices (op welke browser zit kan namelijk uitgelezen worden).
- mobiele devices waar een app voor beschikbaar is sowieso disablen.

Moi_in_actie schreef op zaterdag 03 januari 2015 @ 22:10:
Even iets tussendoor, maar heb je de betaling niet via de app gedaan puur vanwege de 1000 euro limiet? Deze limiet kun je namelijk in de app (de Android versie iig) bij Instellingen wijzigen tot maximaal 5000 euro per dag.

In de Windows Phone versie kan dat (bij mijn weten) nog niet.

Bottom line blijft dat ik het een slordigheidsfout van de ING blijf vinden. Als bank heb je een verantwoordelijkheid als het gaat om veiligheid die verder gaat dan met het vingertje naar de browser wijzen. We hebben het hier niet over een wachtwoord van het sukkeltje.nl forum.

[ Voor 24% gewijzigd door DeNachtwacht op 03-01-2015 22:17 ]

youtube.com/@hisrep

zaterdag 3 januari 2015 22:15

Acties:

0 Henk 'm!

CyBeR

💩

orf schreef op zaterdag 03 januari 2015 @ 22:13:
[...]

Door een cookie te stelen kun je geen transactie autoriseren. Malware kan inloggen (op basis van een willekeurige eerdere inlog), een transactie uitvoeren en vervolgens de SMS onderscheppen waardoor de transactie uitgevoerd wordt.

Dat is specifiek iets voor deze toepassing, maar het is dan meestal simpeler om gewoon in de browser de transactie aan te passen.

Op mobiel wordt de SMS ook via een ander protocol verstuurd en is een SMS niet te onderscheppen met een MitM. toch?

Correct, maar als je dat daar doet in combinatie met het opslaan van je username én wachtwoord dan ben je wél fucked. Daarom vraagt ING ook netjes aan je browser om dat niet te doen, maar dan moet die dat niet negeren natuurlijk.

Overigens, ING is prima in staat om net als de ABN/Rabo/etc een apparaatje te gebruiken om dit te doen (en voor rekeningen die niet bij de Postbank vandaan kwamen deden ze dat ook al) maar ze kiezen juist uit oogpunt van gebruiksgemak voor de TAN-codes. Dat is ook iets waar veel klanten specifiek heel blij mee zijn omdat ze niet zo'n stom apparaatje mee hoeven te nemen. Die apparaatjes zijn inderdaad iets veiliger, maar zoals altijd is er een afweging gemaakt tussen kosten voor implementatie van een ander systeem, gebruiksgemak, en kosten voor het schadeloos stellen van mensen die een veiligheidsprobleem hebben gehad. De uitkomst zie je.

Het zelfde is overigens gedaan bij PIN-passen. Kunnen we daar betere beveiliging op stoppen dan een viercijferige pin-code? Ja. Is dat goedkoper dan de kosten van fraude op dit moment? Nope.

[ Voor 33% gewijzigd door CyBeR op 03-01-2015 22:20 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 3 januari 2015 22:20

Acties:

0 Henk 'm!

Whatson

Of natuurlijk gewoon je telefoon beveiligen met een (5 cijferige) pin code. Knappe jongen* die dan bij je ING bankrekening komt als je je telefoon verliest.

http://download.microsoft...8-1-Security-Overview.pdf

Internal storage encryption
Windows Phone 8.1 performs device encryption, which is based on BitLocker technology, to encrypt the internal storage of devices with Advanced Encryption Standard (AES) 128-bit encryption. This helps ensure that data is always protected from unauthorized users, even when they have physical possession of the phone.
The encryption key is protected by the TPM to ensure that the data cannot be accessed by unauthorized users, even if the internal storage media is physically removed from the device. With both PIN-lock and device encryption enabled, the combination of data encryption and device lock would make it extremely difficult for an attacker to recover sensitive information from a device.
The Require Device Encryption policy prevents users from disabling device encryption and forces encryption of internal storage. Additional security can be included when the Device wipe threshold policy has been implemented to wipe the device when a brute-force attack on the PIN lock is detected. For more information about this policy, see “Security-related policy settings” later in this guide.

*De gewone draaideur crimineel. De NSA/AIVD zal wel een backdoor hebben

Zonder fysieke toegang tot de telefoon moet de crimineel zowel je sessie op mijn ING onderscheppen als je SMS verkeer.

[ Voor 4% gewijzigd door Whatson op 03-01-2015 22:22 ]

zaterdag 3 januari 2015 22:21

Acties:

0 Henk 'm!

orf

CyBeR schreef op zaterdag 03 januari 2015 @ 22:15:
Dat is specifiek iets voor deze toepassing, maar het is dan meestal simpeler om gewoon in de browser de transactie aan te passen.

Maar dat kan met het onderscheppen van de SMS helemaal op de achtergrond. Eenmaal de inloggegevens onderschept kun je transacties uitvoeren zonder tussenkomst van de gebruiker.

Als je alleen de transactie in de browser aanpast, moet je hetzelfde bedrag gebruiken (of ervan uitgaan dat de gebruiker niet naar het eurobedrag kijkt in de SMS) en ben je afhankelijk van wanneer de gebruiker opnieuw een transactie doet. Met het onderscheppen van de SMS kan dat volledig autonoom.

zaterdag 3 januari 2015 22:24

Acties:

0 Henk 'm!

CyBeR

💩

orf schreef op zaterdag 03 januari 2015 @ 22:21:
[...]

Maar dat kan met het onderscheppen van de SMS helemaal op de achtergrond. Eenmaal de inloggegevens onderschept kun je transacties uitvoeren zonder tussenkomst van de gebruiker.

Als je alleen de transactie in de browser aanpast, moet je hetzelfde bedrag gebruiken (of ervan uitgaan dat de gebruiker niet naar het eurobedrag kijkt in de SMS) en ben je afhankelijk van wanneer de gebruiker opnieuw een transactie doet. Met het onderscheppen van de SMS kan dat volledig autonoom.

Klopt, maar dan ben je wel binnen no time gedetecteerd dus of dat een verstandige manier is, is een tweede. En het hele verhaal hangt er op dat de aanvaller controle heeft over je computer, iets wat al jaren een bekend probleem is.

Overigens, als je hier bang voor bent, zover ik weet kun je bij ING ook nog steeds een papieren TAN-lijst gebruiken en die veilig opslaan. Beste aanvaller die dat uit kan lezen.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 3 januari 2015 22:29

Acties:

0 Henk 'm!

orf

Ik ben er niet perse bang voor. Ik vind het gebruiksgemak van SMS erg fijn. Papieren tancodes kan volgens mij al een tijd niet meer. De ING-app als two-factor gebruiken is volgens mij wel een redelijke oplossing voor dit probleem.

ING zou op mobiel de app kunnen lanceren als de website wordt geopend. In iOS kan dat zo.

zondag 4 januari 2015 00:06

Acties:

0 Henk 'm!

bluebear

Ik heb nog steeds papier tan-codes.
Ze zijn dan wel een jaar oud oid. ben benieuwd hoe ik dat ga doen wanneer ze opgebruikt zijn.. aangezien ik in het buitenland zit, is de papieren manier de enige voor mij.

zondag 4 januari 2015 02:37

Acties:

0 Henk 'm!

stresstak

orf schreef op zaterdag 03 januari 2015 @ 22:29:
Papieren tancodes kan volgens mij al een tijd niet meer.

´Kan niet meer´ als mening of ideaal, of letterlijk.? Ik gebruik ze namelijk regelmatig. Als ING besluit dat papieren tancodes passé zijn dan ga ik naar een andere bank. Ik heb geen mobiel en juist daarom een maand of wat geleden papieren tancodes aangevraagd en gekregen voor mijn nieuw geopende rekening.

Sms wil men alleen versturen naar een mobiele telefoon, terwijl mijn vastelijn-toestel die mogelijkheid ook bezit.

zondag 4 januari 2015 02:48

Acties:

0 Henk 'm!

orf

stresstak schreef op zondag 04 januari 2015 @ 02:37:
[...]

´Kan niet meer´ als mening of ideaal, of letterlijk.? Ik gebruik ze namelijk regelmatig. Als ING besluit dat papieren tancodes passé zijn dan ga ik naar een andere bank. Ik heb geen mobiel en juist daarom een maand of wat geleden papieren tancodes aangevraagd en gekregen voor mijn nieuw geopende rekening.

Sms wil men alleen versturen naar een mobiele telefoon, terwijl mijn vastelijn-toestel die mogelijkheid ook bezit.

Ik had niet de keuze, maar wellicht is dat alleen bij een zakelijke rekening?

zondag 4 januari 2015 02:57

Acties:

0 Henk 'm!

stresstak

orf schreef op zondag 04 januari 2015 @ 02:48:
[...]

Ik had niet de keuze, maar wellicht is dat alleen bij een zakelijke rekening?

Neen, een gewone privé- annex betaalrekening. De rekening bestond al even, maar ik wilde er een pinpas en een spaarrekening aan koppelen en ook mee internetbankieren.
Per computer kon dat niet aangevraagd en geregeld worden, want 06 vereist. Maar aan de balie kon men het oplossen: papieren tan-codes, in drie dagen thuis.

zondag 4 januari 2015 03:20

Acties:

0 Henk 'm!

aex351

I am the one

Toestel beveiligen met een pincode. Mijn iPhone wist zichzelf na 10 foutieve pogingen. Daarmee verlaag je de kans dat iemand je rekening kan leegplunderen via je telefoon. Verder vind ik de TAN-code systeem goed, beter dan een extern apparaat. Los van de twee systemen vind ik de ING app ideaal, wat in wezen een derde systeem is. Je kan tegenwoordig ook mobiele iDeal betalingen met de app doen, beveiligd door een 5 cijferige wachtwoord.

< dit stukje webruimte is te huur >

zondag 4 januari 2015 11:45

Acties:

0 Henk 'm!

Rolfie

aex351 schreef op zondag 04 januari 2015 @ 03:20:
Verder vind ik de TAN-code systeem goed, beter dan een extern apparaat.

Maar helaas zijn TAN codes ook het minst veilige systeem.
SMS is gewoon niet secure meer te noemen, met alle apps die zoveel rechten op je "smart" telefoon nodig hebben
Daarbij SMS heeft een grote afhankelijkheid, dat is je telefoon moet het doen. En in sommige gebouwen, is dat best lastig.
Of sls je in het buitenland bent, moet je abonnement het ook ondersteunen. En dat is ook niet van zelf sprekend.
Nadeel van een token generator, is natuurlijk dat je je token mee moet nemen.

Los van de twee systemen vind ik de ING app ideaal, wat in wezen een derde systeem is. Je kan tegenwoordig ook mobiele iDeal betalingen met de app doen, beveiligd door een 5 cijferige wachtwoord.

mwaaa, apps is zeker niet slecht. Echt ideaal werken vind ik hem persoonlijk niet. Maar dat is mijn mening. ideal betalingen via de app doen, is ook niet echt uniek meer. Heb met de rabo app het al meerdere keren gedaan.

zondag 4 januari 2015 13:58

Acties:

0 Henk 'm!

incaz

Rolfie en anderen: het mobiele protocol zelf is zo lek als een mandje, zie het artikel dat ik al eerder gaf. Daar heb je dus niet per se apps voor nodig. Het komt er op neer dat iedereen die ergens ter wereld zichzelf voordoet als 'provider' gewoon kan zeggen, "hee, nummer 06-xxx is nu bij mij in het netwerk, stuur je sms'jes naar mij en dan zorg ik wel dat ze op de juiste plek komen"
En dan ontvangt de 'provider' vrolijk jouw sms'jes met tan-code.

Als ze de inloggegevens al hebben is het nummer er zo bij gevonden. Daar is dan ook geen mitm-attack voor nodig.

Maar dat staat wel los van de situatie van TS.

Never explain with stupidity where malice is a better explanation

zondag 4 januari 2015 18:01

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Sja ik denk dat de conclusie is dat er nog veel aan te merken is op de beveiliging, maar dat weinig mensen het met me eens zijn dat het bewaren van het wachtwoord primair door ING opgelost zou moeten worden.

Laten we eerlijk zijn, zeker met de apps komt op de website inloggen op je mobiel toch niet meer voor dus heel groot is het probleem niet. Maar ik ben gewaarschuwd en blijf er voortaan bij vandaan

youtube.com/@hisrep

maandag 15 juni 2015 22:35

Acties:

0 Henk 'm!

Rostad

Een beetje laat, maar ik heb dezelfde problematiek onlangs ervaren met Firefox op een desktop, waarbij ik uit het niets na het openen van mijn.ing een vooringevulde gebruikersnaam en wachtwoord heb zien staan en vervolgens ook daarmee heb kunnen inloggen.
Mogelijk dat ik inderdaad ook hier op een of andere manier dit onbedoeld heb aangevinkt. Inmiddels nagegaan dat dit inderdaad zo was en het ook weer uitgezet. Strekking van dit bericht is dat dit probleem zich ook voor kan doen op niet mobiele browsers (in mijn geval Firefox 38.0.5 onder Windows7).

maandag 15 juni 2015 23:40

Acties:

0 Henk 'm!

begintmeta

Moderator General Chat

Rolfie schreef op zondag 04 januari 2015 @ 11:45:
...
Maar helaas zijn TAN codes ook het minst veilige systeem.
...

Een tan is gewoon een eenmalig wachtwoord, die wachtwoorden kunnen via allerlei wegen worden verspreid, de klassieke manier was natuurlijk op papier, per sms is nu het gangbaarst, verder zijn er ook manieren TANs dynamisch te genereren, eventueel gekoppeld aan input, zoals een chipkaart, pincode, transactie-id... (denk aan de TANs die worden gegenereerd door e.dentifier, rabo scanner, vasco digipass etc) Dat laatste is natuurlijk een stuk beter, maar niet omdat er geen TAN zou worden gebruikt.

[ Voor 7% gewijzigd door begintmeta op 15-06-2015 23:41 ]

dinsdag 16 juni 2015 12:37

Acties:

0 Henk 'm!

Rolfie

begintmeta schreef op maandag 15 juni 2015 @ 23:40:
[...]

Een tan is gewoon een eenmalig wachtwoord, die wachtwoorden kunnen via allerlei wegen worden verspreid, de klassieke manier was natuurlijk op papier, per sms is nu het gangbaarst, verder zijn er ook manieren TANs dynamisch te genereren, eventueel gekoppeld aan input, zoals een chipkaart, pincode, transactie-id... (denk aan de TANs die worden gegenereerd door e.dentifier, rabo scanner, vasco digipass etc) Dat laatste is natuurlijk een stuk beter, maar niet omdat er geen TAN zou worden gebruikt.

TAN is inderdaad gewoon een code. Maar TAN codes worden gebruikt door de ING in de volksmond, en de overige worden vaak code of token genoemd.

Maar uit eindelijk is het allemaal een gegenereerde code, op basis van een algoritme.

woensdag 17 juni 2015 18:46

Acties:

0 Henk 'm!

DeNachtwacht

youtube.com/@hisrep

Topicstarter

Rostad schreef op maandag 15 juni 2015 @ 22:35:
Een beetje laat, maar ik heb dezelfde problematiek onlangs ervaren met Firefox op een desktop, waarbij ik uit het niets na het openen van mijn.ing een vooringevulde gebruikersnaam en wachtwoord heb zien staan en vervolgens ook daarmee heb kunnen inloggen.
Mogelijk dat ik inderdaad ook hier op een of andere manier dit onbedoeld heb aangevinkt. Inmiddels nagegaan dat dit inderdaad zo was en het ook weer uitgezet. Strekking van dit bericht is dat dit probleem zich ook voor kan doen op niet mobiele browsers (in mijn geval Firefox 38.0.5 onder Windows7).

Dat is toch alweer behoorlijk stukje serieuzer. ING doet er helaas niks mee, niet eens reactie gehad op mijn melding destijds...

youtube.com/@hisrep