Inloggen bij bank omgevingen

Don Quijote schreef op vrijdag 22 november 2019 @ 10:58:
Om te voldoen aan de PSD2 richtlijnen van Strong Customer Authentication heeft onder andere de ING wat authenticatie veranderen door moeten voeren. Dat betekent inderdaad dat wanneer je gebruik maakt van de mobiele app, deze als extra middel wordt ingezet voor authenticatie in de webomgeving (mobiel bevestigen). Indien je geen app gebruiker bent, is er de ING Scanner. Mobiel bevestigen is in mijn ogen fijner dan het gebruik van een fysieke scanner. Zelf zit ik bij ABN en ben de reader altijd kwijt. Ben blij dat ook zij mobiel bevestigen hebben geïntroduceerd.

[ Voor 7% gewijzigd door corporalnl op 22-11-2019 12:30 ]

be3a18 schreef op vrijdag 22 november 2019 @ 13:10:
[...]


De methode van de Rabobank is er nog steeds, daar is niks aan gewijzigd.

Zoals ik al zei, bij de ING log ik in op mijn PC. Daarna moet ik dat bevestigen via de app. Niks mis mee. Echter, aan mijn inloggen bij de ING via een pincode zit al een grondige versie van validatie. M.a.w., als ik eenmaal op die manier inlog zit ik al in een beveiligde omgeving. Dan volgt de stap dat ik het inloggen moet bevestigen. Ook niks mis mee. Echter wordt dan weer om die pincode gevraagd. Dat is dus stap 3. Als dit een beveiliging tegen criminelen is, is het zinloos. Die hebben dan al de pincode.

ING slaat door. Dit is niet 2FA, dit is 3FA (eigenlijk ook weer niet omdat je bij de derde stap precies dezelfde pincode gebruikt als bij stap 2).

be3a18 schreef op vrijdag 22 november 2019 @ 13:19:
[...]


Pincode bij stap 2 én 3 zijn identiek. Wat is dan het nut?

be3a18 schreef op vrijdag 22 november 2019 @ 13:19:
[...]


Pincode bij stap 2 én 3 zijn identiek. Wat is dan het nut?

be3a18 schreef op vrijdag 22 november 2019 @ 13:27:
[...]


Stap 3 heeft alleen zin als je inderdaad al ingelogd bent in de app op de smartphone. Maar dat doet toch niemand als je klaar bent met bankieren, dat is pas een risico.

[ Voor 17% gewijzigd door corporalnl op 22-11-2019 13:30 ]

be3a18 schreef op vrijdag 22 november 2019 @ 13:31:
Ik heb de app alleen open staan wanneer ik m nodig heb. Volgens mij wordt je zelfs (en dat hoort ook zo anders zou het niet best zijn) na een bepaalde periode van inactiviteit automatisch uitgelogd. Dus nee, ik heb de app niet open staan als ik inlog via de PC. Dan volgt het 3 stappen verhaal.

[ Voor 3% gewijzigd door corporalnl op 22-11-2019 13:34 ]

be3a18 schreef op vrijdag 22 november 2019 @ 13:31:
Ik heb de app alleen open staan wanneer ik m nodig heb. Volgens mij wordt je zelfs (en dat hoort ook zo anders zou het niet best zijn) na een bepaalde periode van inactiviteit automatisch uitgelogd. Dus nee, ik heb de app niet open staan als ik inlog via de PC. Dan volgt het 3 stappen verhaal.

De Rabobank methode via een toegestane browser is ook niet perfect. Maar zodra een crimineel fysieke toegang tot je PC heeft is het einde sowieso zoek als de crimineel in kwestie verstand van zaken heeft.

be3a18 schreef op vrijdag 22 november 2019 @ 13:35:
[...]


Het klopt dat het de keuze van de ING is maar ze slaan een beetje door.

corporalnl schreef op vrijdag 22 november 2019 @ 12:28:
En om nou te zeggen dat een Reader makkelijk is, vind ik van niet. Telefoon heb je altijd bij je. Reader niet.

be3a18 schreef op vrijdag 22 november 2019 @ 10:44:
Ik kan niet meer inloggen met een SMS-code omdat de ING 'ziet' dat ik de app gebruik. Ik moet dus via die app inloggen. Op zich geen probleem maar ik moet nu alleen voor het inloggen dit als het ware dubbel bevestigen. Ik moet eerst inloggen in de app. Het lijkt mij dat ik dan al veilig ben ingelogd. Ik kan dan vervolgens de inlog poging op de PC bevestigen. Alleen moet ik dan weer de pincode ingeven. Ik moet dus:
- inloggen op mijn PC
- niet 1 maar 2 keer dat bevestigen via de app.

be3a18 schreef op vrijdag 22 november 2019 @ 13:10:
[...]


De methode van de Rabobank is er nog steeds, daar is niks aan gewijzigd.

Zoals ik al zei, bij de ING log ik in op mijn PC. Daarna moet ik dat bevestigen via de app. Niks mis mee. Echter, aan mijn inloggen bij de ING via een pincode zit al een grondige versie van validatie. M.a.w., als ik eenmaal op die manier inlog zit ik al in een beveiligde omgeving. Dan volgt de stap dat ik het inloggen moet bevestigen. Ook niks mis mee. Echter wordt dan weer om die pincode gevraagd. Dat is dus stap 3. Als dit een beveiliging tegen criminelen is, is het zinloos. Die hebben dan al de pincode.

ING slaat door. Dit is niet 2FA, dit is 3FA (eigenlijk ook weer niet omdat je bij de derde stap precies dezelfde pincode gebruikt als bij stap 2).

DjoeC schreef op vrijdag 22 november 2019 @ 16:13:
Ik log bj ING in zonder app maar met een calculator. Ook dat is flink complexer geworden dan met de oude code lijst.
Nu:
1. inloggen op PC met userID + wachtwoord
2. Scanner opstarten en kleurencode scannen
3. Vraag of je wilt inloggen bevestigen
4. Pincode intypen op scanner
5. Code van scanner intypen op website
Dan ben je ingelogd. Scanner gaat na een seconde of 10-20 automatisch uit.

Wil je overschrijven dan moet je voor bevestiging de stappen 2 t/m 5 opnieuw door.

Tja, de perceptie van extra veiligheid wil wat..... Geef mij maar de 2FA van de oude TAN lijst. Ik vond m veiliger dan de SMS code, zeker zo veilig als het nieuwe circus met de calculator met minder hoepels om door te springen en apps heb ik al helemaal geen vertrouwen in vanwege alle mogelijke track-en-trace activiteiten van de makers/uitgevers. Ik weet t, ik ben ouderwetsch.