1. omdat het twee redelijk aparte omgevingen betreft en je met mobiel bankieren niet zo veel kan als met internet bankieren. Tevens heb je bij internet bankieren een gebruikersnaam+wachtwoord nodig waardoor dit op een andere manier beveiligd is.
2. ja, internet naar boven, mobiel naar beneden. Als ik toevallig inlog in een café iemand leest mijn code af en jat dan mijn telefoon kan ik waarschijnlijk niet snel genoeg ING bellen om te laten blokkeren.
3. 10k.

[ Voor 5% gewijzigd door True op 02-07-2021 08:55 ]

De kans dat beide toegangsvormen gecompromitteerd raken is niet erg groot, dus mocht je een betaling per se binnen die 4 uur moeten doen terwijl je de limiet al hebt bereikt, dan is wisselen naar Internetbankieren/app nog een optie.

Naast de bedragen die je die dag al over hebt gemaakt zou een aanvaller met toegang tot jouw ING omgeving dus per omgeving maximaal 5.000 over kunnen maken per dag, totdat jij dat door hebt. Maar dan moet je dus ook langs 2FA etc. komen.

Als je verwacht niet vaak aan dergelijke bedragen te komen op een dag kan het wel verstandig zijn om die limiet te verlagen.

Bij Rabobank is de limiet overigens 2.000 per dag naar bekende rekeningen en een instelbaar limiet van maximaal 1.000 per dag naar onbekende rekeningen zonder gebruik van de Rabo scanner (2FA).
Dus 2 keer 5.000 lijkt me aardig hoog.

[ Voor 16% gewijzigd door dutchgio op 02-07-2021 09:01 ]

Vraag 1: hier ben ik het eens met @True. Ik zou hetzelfde zeggen.
Vraag 2: 600 euro in de app. Op de website blijkbaar niet; 5000 euro, daar kom ik zelden aan. Misschien dat toch maar verlagen...
Vraag 3: in het meest optimale geval (voor de dief) in mijn geval dus 600+5000+limieten op betaalpas euro. Als alles op dezelfde dag gebeurt.
Standaard dus 5000 + 5000 euro = 10000 euro.

[ Voor 6% gewijzigd door T.Kreeftmeijer op 02-07-2021 09:05 ]

lucatoni schreef op vrijdag 2 juli 2021 @ 09:12:
...
Via je mobiele browser kom je vervolgens in de Mijn ING omgeving (dus zonder aanvullend security eisen). Hier kan je vervolgens een betaling initieren. Voor@T.Kreeftmeijer zou dat dus betekenen dat bij diefstel van telefoon (en afkijken pincode) de 600 euro limiet gepasseerd kan worden, en er een 5000 euro betaling gedaan kan worden.

+

Heb ING hierover overigens ingelicht. Je verwacht het niet, vrij lakse reactie, met moeite een melding, en nu, 3 weken later, niks meer vernomen. Wat vinden jullie?

Allicht dat ik het verkeerd lees maar overal ter wereld waar iemand niet alleen zijn/haar device verliest (die ook nog eens niet gelocked staat) en je pincode overhandigt / afkijkt, kan iemand anders toch inloggen op de (betaal-)rekening en er met het geld mee vandoor gaan?

Dat je daar dan een melding van maakt bij ING en geen inhoudelijke reaktie krijgt; logisch toch? Of mis ik nu echt het simpele verschil tussen "ik log op een mobiel device in op een browser" en "ik log op een mobiel device in op de bijbehorende app"; dat is toch het essentiele verschil van je eerste vraagstelling en "dus" kan je 2 resultaten verwachten?

lucatoni schreef op vrijdag 2 juli 2021 @ 09:12:
Thanks, genoeg reacties! Ik ben het met jullie eens! Nu het volgende wat ik heb ontdekt. Via de App (op Android getest, maar vermoedelijk ook bij de iPhone versie) is het mogelijk om single sign on naar de Mijn ING omgeving te gaan. Onder de noemer: mis je iets in de app, ga eenvoudig verder bij Mijn ING. Deze optie vindt je onder: Service --> Bekijk alle mogelijkheden --> Regel meer in Mijn ING

Via je mobiele browser kom je vervolgens in de Mijn ING omgeving (dus zonder aanvullend security eisen). Hier kan je vervolgens een betaling initieren. Voor@T.Kreeftmeijer zou dat dus betekenen dat bij diefstel van telefoon (en afkijken pincode) de 600 euro limiet gepasseerd kan worden, en er een 5000 euro betaling gedaan kan worden.

Heb ING hierover overigens ingelicht. Je verwacht het niet, vrij lakse reactie, met moeite een melding, en nu, 3 weken later, niks meer vernomen. Wat vinden jullie?

Dit is mij bekend inderdaad. Het viel me laatst op dat ik online niet meer hoefde in te loggen.

En inderdaad, je kan gewoon geld overschrijven.

Dan moest beste persoon wel 2 pincodes hebben, voor het apparaat en de app, mits apparaat vergrendeld was.

[ Voor 4% gewijzigd door T.Kreeftmeijer op 02-07-2021 09:20 ]

lucatoni schreef op vrijdag 2 juli 2021 @ 09:16:
[...]


Mijn wedervraag: waarom hanteert ING een limiet voor de App? Als je via de app, met 1 druk op de knop in de Mijn ING omgeving komt?

Dus jouw voorstel is... wat?
De app limiet afschaffen? Optrekken naar 5000? Functionaliteit uit de app verwijderen?

lucatoni schreef op vrijdag 2 juli 2021 @ 09:16:
[...]


Mijn wedervraag: waarom hanteert ING een limiet voor de App? Als je via de app, met 1 druk op de knop in de Mijn ING omgeving komt?

Het maakt toch geen ***** meer uit of het via de app naar browser, via browser naar app of desnoods helemaal niet meer via jouw device gaat.

Je zegt net zelf: als iemand jouw pincode en bankrekening weet.

Ja, hallo; dan kan je 10x de ING laks noemen; jouw gegevens om in te loggen of bij jouw geld te komen zijn dan toch al weg?

lucatoni schreef op vrijdag 2 juli 2021 @ 09:25:
[...]


Volgens mij geef je geen antwoord op mijn vraag. Mijn punt is dat ING een app limiet hanteert, die via de app, gepasseerd kan worden. Sterker nog, bij de standaard instellingen, 5.000 limiet voor Mijn ING en 5.000 limiet voor de app, kan de schade 10.000 zijn wanneer iemand toegang heeft tot je app.

Welk antwoord wil je? Dat ING "dom" is?

Jij gaat voorbij aan het feit dat, om bovenstaande te realiseren, het volgende moet gebeuren:

- iemand heeft jouw device
- iemand heeft jouw device unlocked
- iemand kan jouw app openen
- iemand kan jouw app unlocken
- iemand kan met jouw pincode etc in de app dingen doen
- iemand kan dan ook via de app naar internet via de browser
- iemand neemt meer geld weg dan de limiet in de app

Samengevat, maar allicht ben ik gewoon vervelend: er zijn minstens 4 of 5 randvoorwaarden die wel zooooo miniem flinterdun aan de ING te wijten zijn (en 100% aan jou zoals je device verliezen, je device niet op slot kunnen houden, je pincode laten afkijken/lekken, etc), dat ik absoluut niet begrijp waar je je druk over maakt.

lucatoni schreef op vrijdag 2 juli 2021 @ 09:31:
[...]


Waarom stel je een app limiet in? Dan verwacht je toch dat er via de app niet meer betaald kan worden dan dat limiet?

Je kan ook de app-limiet hoger instellen dan de Mijn ING-limiet. Uiteindelijk heb je altijd nog toegang tot de app nodig om opdrachten in Mijn ING te bevestigen, maar het zou kunnen beschermen tegen babbeltrucs (iemand die inlogt in jouw Mijn ING en je vervolgens probeert je over te halen op de telefoon te bevestigen) of tegen malware die gekke dingen doet in Mijn ING (zoals op de achtergrond stiekem een andere transactie inplannen maar die verbergen op de weergave).
Of misschien is de feature er omdat er ouderen zijn die de app niet vertrouwen en daarom graag voor de gek worden gehouden met dat ze daar een lage limiet voor kunnen instellen

lucatoni schreef op vrijdag 2 juli 2021 @ 09:31:
[...]


Heb je wel eens gehoord dat iemand onder dwang iets moet doen? Maar je gaat eigenlijk weer voorbij aan mijn punt: Waarom stel je een app limiet in? Dan verwacht je toch dat er via de app niet meer betaald kan worden dan dat limiet?

Maar dan kun je toch ook iemand dwingen via de site in te loggen op hun smartphone ipv via de app?

Ging over andere bank

[ Voor 104% gewijzigd door Slechdt op 23-03-2023 18:05 ]

lucatoni schreef op vrijdag 2 juli 2021 @ 08:53:
Aan alle ING klanten heb ik een drietal vragen, voordat ik vertel wat ik heb geconstateerd.

Je hebt de mogelijkheid om een tweetal betaal limieten in te stellen. één voor de Mobiel Bankieren App, en één voor de Mijn ING omgeving. Standaard staan deze beide op 5.000 euro.

Zie: https://www.ing.nl/partic...t%20de%20overschrijfdatum.

1. Waarom denken jullie dat ING twee verschillende limieten hanteert voor betalingen?
2. Hebben jullie de limieten aangepast, bijvoorbeeld omdat één van de twee omgeving een hoger risico is op misbruik?
3. Wat zou de theoretische schade moeten zijn wanneer iemand ongeautoriseerd toegang heeft tot de Mijn ING omgeving of Mobiel Bankieren app. Uitgaande dat deze beide op standaard 5.000 euro staan.

Met name benieuwd hoe een (gemiddelde klant) deze instellingen interpreteert.

Mijn ING omgeving is de website?
Ik zou gokken 5.000 euro, maar als je de vraag stelt zal het wel 10.000 zijn?

Het zullen verschillende limieten zijn omdat het anders gebruikt wordt, mobiel heb je altijd bij, onderweg, website is meestal thuis maar aangezien je op je mobiel ook gewoon een website kan openen is dat ook niet helemaal waar natuurlijk. Andere authentificatie waarschijnlijk? Ik ben al een tijdje weg bij ING, die tancodes per sms zullen het niet meer zijn.

Er valt digitaal niet te beveiligen tegen dwang, zelfs analoog is dat amper mogelijk. Dat valt inderdaad te negeren.

Ik zou bij overschakelen toch even bevestiging vd (app) pincode o.i.d. verwachten. Op dat moment is er sprake van iets weten (pin) en hebben (foon), tweefactorauthenticatie. Een yubikey kan ook worden gestolen. Geen beveiliging is volledig, het is altijd een afweging tussen veiligheid en gemak/functionaliteit.

Het enige scenario waar dit een issue lijkt, is als ze fysiek de foon jatten terwijl je al in de app bezig bent. Dan kan je iig meteen de bank bellen (hmm, met andermans foon).

Tegen de meer waarschijnlijke scenario's wordt nog wel beveiligd: logingegevens of foon gejat, etc.

Maar ik zie het dus wel als een gaatje ja, of het opgelost wordt (met als nadeel verminderd gebruiksgemak) en wanneer (als dit oplossen dan wordt iets anders naar achteren gezet in de planning) zal aan de bank zijn.

Waar heb je het overigens gemeld? Bij de algemene servicedesk melden is vast zinloos, je wilt zijn bij https://www.ing.nl/de-ing...kwetsbaarheden/index.html

MAX3400 schreef op vrijdag 2 juli 2021 @ 09:29:
[...]

Welk antwoord wil je? Dat ING "dom" is?

Jij gaat voorbij aan het feit dat, om bovenstaande te realiseren, het volgende moet gebeuren:

- iemand heeft jouw device
- iemand heeft jouw device unlocked
- iemand kan jouw app openen
- iemand kan jouw app unlocken
- iemand kan met jouw pincode etc in de app dingen doen
- iemand kan dan ook via de app naar internet via de browser
- iemand neemt meer geld weg dan de limiet in de app

Samengevat, maar allicht ben ik gewoon vervelend: er zijn minstens 4 of 5 randvoorwaarden die wel zooooo miniem flinterdun aan de ING te wijten zijn (en 100% aan jou zoals je device verliezen, je device niet op slot kunnen houden, je pincode laten afkijken/lekken, etc), dat ik absoluut niet begrijp waar je je druk over maakt.

toon volledige bericht

Ik zie maar twee randvoorwaarden.

- Iemand zit achter je in de bus, en ziet je app-code.
- Deze persoon pakt je telefoon af bij de halte, terwijl deze nog ontgrendeld is.

Nu kan je met alléén de app code zowel je app-limite (5000) én je internetbankieren limiet (nogmaals 5000) overschrijven.

Dit vind ik toch best wel een risico, zeker omdat de 'app limiet' doet denken dat je met alleen app toegang niet meer kan overschrijven dan dit limiet.
Dit is nu dus met de single sign-in omzeild.

Ik zou als ING dus ook de single sign-in geen toegang geven tot overschrijvingen/betalingen in de internet omgeving.

Tens schreef op vrijdag 2 juli 2021 @ 11:02:
[...]

onder dwang de limiet verhogen bijvoorbeeld?

Je zou daar nog een vertraging in kunnen maken. Dat het de volgende werkdag actief is. Dan heb je wel weer dat je de limiet hoger in moet stellen voor dagelijkse activiteiten omdat het minder flexibel werkt (even snel aanpassen bij wat meer facturen of duurdere aankoop gaat niet).

Tens schreef op vrijdag 2 juli 2021 @ 11:06:
[...]

je kunt ook iemand vragen om mee te kijken.....

Tja, soms gaat er nou eenmaal iets fout.
Handig als daar een vangnet voor is, zoals een app-limiet!

Jammer dat het app-limiet niks doet omdat je met de app zonder verdere verificatie bij de internetbankieren website komt, die een eigen limiet heeft...

Op zich heb je wel een punt ja, ik wist niet eens dat die optie bestond (verder gaan in Mijn ING).

Maar goed, het is in mijn optiek geen echt probleem. Als iemand toch al in je App kan komen (code) kunnen ze anders ook even het limiet verhogen van de App zelf (zelfde code) en 4 uur wachten.

Uiteindelijk moeten ze fysiek je telefoon hebben, daarin kunnen komen en de ING-code weten. Sjah, gebruik dan niet de ING-app bij de uitgang in de bus

MAX3400 schreef op vrijdag 2 juli 2021 @ 09:29:
[...]

Welk antwoord wil je? Dat ING "dom" is?

Jij gaat voorbij aan het feit dat, om bovenstaande te realiseren, het volgende moet gebeuren:

- iemand heeft jouw device
- iemand heeft jouw device unlocked
- iemand kan jouw app openen
- iemand kan jouw app unlocken
- iemand kan met jouw pincode etc in de app dingen doen
- iemand kan dan ook via de app naar internet via de browser
- iemand neemt meer geld weg dan de limiet in de app

Samengevat, maar allicht ben ik gewoon vervelend: er zijn minstens 4 of 5 randvoorwaarden die wel zooooo miniem flinterdun aan de ING te wijten zijn (en 100% aan jou zoals je device verliezen, je device niet op slot kunnen houden, je pincode laten afkijken/lekken, etc), dat ik absoluut niet begrijp waar je je druk over maakt.

toon volledige bericht

En de relevante punten in die lijst zijn identiek voor betalingen via de app. Punt van TS is ook niet dat het kan, punt is dat het pure schijnveiligheid is om een lager app limiet in te stellen, als je vanuit diezelfde app ook gewoon zonder enige verdere verificatie naar de Mijn ING omgeving kan gaan. Als je daar geen verificatie tussen hebt, moet je gewoon één limiet hebben die voor beide tegelijk geldt.

lucatoni schreef op vrijdag 2 juli 2021 @ 09:25:
[...]

Volgens mij geef je geen antwoord op mijn vraag. Mijn punt is dat ING een app limiet hanteert, die via de app, gepasseerd kan worden. Sterker nog, bij de standaard instellingen, 5.000 limiet voor Mijn ING en 5.000 limiet voor de app, kan de schade 10.000 zijn wanneer iemand toegang heeft tot je app. Ook 2FA is dan niet meer van toepassing....Immers die je alles met je mobiel.

Gewoon standaard je limieten lager zetten, zowel voor de app als de website. Alleen ophogen als je grotere betalingen moet doen en dan duurt het 4 uur voordat je gebruik kan maken van de hogere limiet.

Ik heb standaard de limiet op 1000€ per dag staan. Het komt bij mij zelden voor dat ik hogere rekeningen heb en als dat zo is, dan duurt het 4 uurtjes voordat ik het kan overmaken, vanwege de 4-uur tijdslot voor hogere limieten. Voordeel hiervan is dat je bij verlies dus ook max 4 uur de tijd hebt om te voorkomen dat er meer geld weggesluisd wordt.

Verder doe ik geen betalingen in de app in publieke ruimtes waar mensen de code kunnen afkijken. Inloggen kan wel, dat gaat via FaceID bij mij. Hierdoor is de kans dat iemand mijn code in handen krijgt miniem. Dit is veel belangrijker dan die limiet in de app zelf. Jij bent verantwoordelijk voor je codes en als je daar onverantwoordelijk mee omgaat, is de schade voor jou. Dat geldt bij elke bank zo.

lucatoni schreef op vrijdag 2 juli 2021 @ 09:12:


Via je mobiele browser kom je vervolgens in de Mijn ING omgeving (dus zonder aanvullend security eisen).

Er staat letterlijk bij, "Je hoeft niet opnieuw in te loggen".

Dit zal dus een bewuste keuze zijn geweest van ING.
Vandaar dat ze misschien wat laconiek reageren

Famous schreef op vrijdag 2 juli 2021 @ 12:25:
[...]
Er staat letterlijk bij, "Je hoeft niet opnieuw in te loggen".

Dit zal dus een bewuste keuze zijn geweest van ING.

Je hebt bewuste keuzes en bewuste keuzes. Er kunnen keuzes worden gemaakt zonder na te denken over beveiligings-risico's en zonder de betreffende mensen te vragen mee te denken.

Vandaar dat ze misschien wat laconiek reageren

lucatoni schreef op vrijdag 2 juli 2021 @ 12:20:
[...]


Gewoon klantenservice inderdaad. Uiteindelijk met de vraag: waarom hanteren jullie 2 limieten, terwijl je zonder extra authenticatie via App naar de Mijn ING omgeving kan. Daar niks meer van vernomen. Ik zal hem ook eens melden op deze plek. Tenslotte neemt fraude nog steeds toe, en is het alleen maar goed dat je ook aan de achterkant een slot achter de deur hebt Dank voor je tip!

Het is duidelijk dat je niet bekend bent met security maatregelen, en hoe dit soort dingen over het algemeen werken. ING is hierin niet uniek en doet niks minder veilig dan andere banken of vergelijkbare instellingen.

Niet iedereen doet zaken via de mobiel. Dat je die 2 gescheiden houdt is niet meer dan logisch.
Dat je direct vanuit je app door kan ook, dat is immers SSO. Dit kan omdat jij jezelf al geauthenticeerd hebt in de app.
Om enige financiële transactie te doen MOET je de MFA verificatie door. Dit kan misschien nog met TAN codes, en anders SMS, of de app. Wil je niet via de app werken, dan zet je dat allemaal uit en ga je weer met SMS aan de gang. De App is veiliger kan ik je zeggen.

Wat mij dan nog stoort bij ING is de achterlijke wachtwoord eisen die ze hanteren. Een STERK wachtwoord zeggen ze, en dan komen ze met deze eisen:

Er wordt minimaal 1 hoofdletter, 1 kleine letter en 1 cijfer gebruikt
Het wachtwoord is minimaal 8 en maximaal 20 karakters lang
Het wachtwoord is niet hetzelfde als (of lijkt niet op) jouw gebruikersnaam
Je wachtwoord is in de afgelopen 12 maanden niet eerder gebruikt

Je kunt de volgende karakters gebruiken:
Cijfers: 0 t/m 9
Letters: kleine letters (a t/m z) en hoofdletters (A t/m Z)
Speciale tekens: @ ! . # $ % - of _

Max 20 karakters, en ze geven je 8 speciale karakters om uit te kiezen. Wel zo makkelijk voor inbrekers.
Ik hoop oprecht dat dit gewoon verouderde eisen zijn en ze wel netjes je wachtwoord met een moderne hashing methode opslaan, want meestal is dit een grote rode vlag dat men dit niet doet. Anders maakt het geen bal uit of jouw wachtwoord bestaat uit 30 smilies of gewoon MijnNaamIsHenk123! - hij maakt er gewoon een salted hash van.
Ook zou ik graag een sterkere code of pattern voor de app toegang willen hebben. Maar 5 wordt breed gezien wel acceptabel gevonden. Cijfers beter dan patroon, want die zie je bij de meeste mensen mooi met de vinger vegen op het scherm.

Ze doen dus zeker dingen niet helemaal goed, maar wat mij betreft zijn de punten die je benoemt geen beveiligingsissue.

[ Voor 4% gewijzigd door Zebby op 02-07-2021 15:07 ]

lucatoni schreef op vrijdag 2 juli 2021 @ 11:21:
[...]


Daar heeft ING een trucje voor, limiet verhogingen zijn 4 uur later pas actief.

duurt het even wat langer......

lucatoni schreef op vrijdag 2 juli 2021 @ 09:31:
[...]


Heb je wel eens gehoord dat iemand onder dwang iets moet doen? Maar je gaat eigenlijk weer voorbij aan mijn punt: Waarom stel je een app limiet in? Dan verwacht je toch dat er via de app niet meer betaald kan worden dan dat limiet?

Je hebt 100% gelijk.

Vandaag app geblokkeerd omdat ik 4 uur moet wachten om zogenaamd phishing fraude tegen te gaan en te voorkomen dat criminelen het dag limiet ophogen. Waarna ze met 1 druk op de knop in die zelfde app toegang geven tot de online web betaal omgeving zonder 4uur wachten en limiet. En kan ik als als volgens ing potentiële crimineel nog steeds mijn eigenbank rekening leeg halen.


Die 4 uur is een grote irritatie farce en voor mij de rede om naar andere bank te gaan zoeken. Want zodra je dit soort bizar tijd limiet als schijnbevrediging gaat instellen kan ik een bank wat beveiliging betreft echt niet meer serieus nemen.

[ Voor 13% gewijzigd door xbeam op 18-07-2021 12:59 ]

lucatoni schreef op vrijdag 2 juli 2021 @ 15:18:
[...]
Allemaal op je telefoon, met bevestiging van 1 pincode. Niks MFA.....

Telefoon (wat je hebt) en PIN (wat je weet) of vingerafdruk (wie je bent) is toch prima MFA?

Banken zouden nog een extra systeem kunnen invoeren voor situaties waarin de rekeninghouder onder dwang zijn codes moet afgeven: een 'paniek-PIN'. Bij gebruik van die code doet de bank alsof er een normale autorisatie is, maar op de achtergrond gaan er alarmbellen af. Iets soortgelijks bestaat voor alarmsystemen: een variatie op de code die aan de alarmcentrale wordt doorgegeven, geeft aan dat de situatie onveilig is.

In de praktijk gaan mensen die code natuurlijk vergeten, per ongeluk gebruiken, enz. Dus waarschijnlijk meer false positives dan dat het helpt. Kan je beter je telefoon hard laten vallen als je bedreigd wordt, maar ook dat heeft fli je risico's.

[ Voor 54% gewijzigd door Reptile209 op 18-07-2021 13:09 ]