Nieuws

ING negeert hoofdletters in wachtwoorden

woensdag 2 februari 2011, 14:04 door Redactie, 23 reacties

ING adviseert klanten om hoofdletters te gebruiken, maar hierop wordt niet gecontroleerd tijdens het inloggen. Een lezer van Webwereld ontdekte dat hij zowel met "WACHTWOORD" als "wachtwoord" kon inloggen. De bank laat op de eigen website weten: "Gebruik hoofdletters, kleine letters, cijfers en symbolen door elkaar. Gebruik altijd verschillende wachtwoorden voor verschillende diensten", zo blijkt uit de Google-cache. De bank heeft het advies inmiddels aangepast. Nu staat er: "Gebruik letters, cijfers en symbolen door elkaar."

Slecht idee
Volgens Frank van Vliet van Certified Secure zijn wachtwoorden sowieso een slecht idee voor het inloggen bij banken. Gebruikers kiezen over het algemeen eenvoudige wachtwoorden. Tweefactor-authenticatie, waarbij klanten voor het inloggen een calculator gebruiken, zou een betere oplossing zijn. Alle andere grote Nederlandse banken gebruiken dit systeem al.

Een woordvoerder van ING laat tegenover Webwereld weten dat het advies om grote en kleine letters te gebruiken raar is en dat de bank dit zal aanpassen. Ook benadrukt hij dat de bank er alle belang bij heeft om gebruikers te beveiligen en aan de eisen van de Nederlandse Bank te voldoen. "Maar goed je maakt een afweging tussen beveiliging en gebruiksgemak. En dat is waarom we bepaalde keuzes maken", legt de woordvoerder uit. Onlangs werd een soortgelijk probleem ook bij webwinkel Amazon ontdekt.

Botnet steelt ruim 500.000 wachtwoorden

Politie stelt 2,6 miljoen vragen over internetgebruikers

Reacties (23)

02-02-2011, 14:14 door Anoniem

Sommige mensen zeggen dat je geen sterk wachtwoord voor internetbankieren nodig hebt bij ING, omdat deze na 3x blokkeert.

Ze vergeten dan echter dat je wel twee pogingen kan doen en daarna kan wachten tot de ING klant zijn of haar wachtwoord weer goed heeft ingevoerd. En daarna kan je weer twee keer proberen.

Als de ING klant dus elke twee weken een keer inlogt, kan je (52/2)*2 is 52 wachtwoorden proberen per jaar, zonder dat de ING klant hier achter komt.

Bovendien kan je dit bij meerdere slachtoffers tegelijk doen (slachtoffers van het 'wachtwoordbeleid' van ING welteverstaan). Want we hebben het hier over Internet dus elk IP adres is een mogelijke aanvaller.

02-02-2011, 14:20 door Mysterio

Dit is echt bizar! Mijn webmail is dus beter beveiligd dan mijn bankgegevens!? Erg triest...

02-02-2011, 14:28 door Preddie

Dit klopt en was mij eerder ook al opgevallen ...... Voor mij persoonlijk was dit toen ook de reden om rekening op te zeggen

02-02-2011, 14:41 door Anoniem

Dit is echt *te* retarded. Waarom de hell werken die gasten met een wachtwoord? Kan toch echt niet meer anno 2011!

02-02-2011, 14:45 door Anoniem

ING doet aan tweefactorauthenticatie - je kan wel inloggen met slechts een wachtwoord, maar om daadwerkelijk iets met geld te kunnen doen worden er codes naar je mobiele telefoon gesmst. Ik ben persoonlijk al lang blij dat ik niet van een calculator afhankelijk ben om gewoon wat geld over te kunnen maken.

02-02-2011, 14:59 door Anoniem

Mooi man. En allemaal aan het internet bankieren. Wat dat zou zo veilig zijn...

Waarschijnlijk bedoelen ze dat het het hun minder geld kost waardoor de directie bonus weer wat dikker kan zijn. Toch?

02-02-2011, 15:21 door Anoniem

Als trouwe gebruiker van MijnPostbank en MijnING ben ik zeer tevreden met de gebruiksvriendelijkheid die enkel een gebruikersnaam en wachtwoord met zich meebrengt. Maar dit is echt absurd en heeft niets te maken met gebruiksvriendelijkheid. Als je als klant niet meer weet wat de hoofdletters in je wachtwoord zijn, dan moet je maar een nieuw wachtwoord aanvragen.

02-02-2011, 15:40 door Anoniem

"Maar goed je maakt een afweging tussen beveiliging en gebruiksgemak. En dat is waarom we bepaalde keuzes maken"

Het is inderdaad wel erg makkelijker om je wachtwoord alleen in kleine letters te typen. -_-

02-02-2011, 16:07 door Anoniem

WHAT! Dit is slecht:S Toen ik dit las testen ik het eens uit en jha hoor -.- Ben echt verbaast dat ING
Bank dit toelaat:S

Gaat ING Bank dit nog verandere? Zo niet moet ik dan maar een 100 teken wachtwoord nemen voor me veiligheid dus?

02-02-2011, 16:26 door Anoniem

Je kan met wachtwoord wel inloggen en gegevens inzien, maar voor een transactie moet je wel een code invoeren, dus dat gedeelte is wel redelijk veilig.

02-02-2011, 16:29 door Anoniem

Met letters, cijfers en speciale tekens, kan je nog wel een hoop goed beveiligde wachtwoorden maken dacht ik zo...

02-02-2011, 16:57 door Sijmen Ruwhof

Als een wachtwoord hoofdletter ongevoelig is, dan is dit een sterke aanwijzing dat de wachtwoorden niet gehasht worden opgeslagen in de database ...

02-02-2011, 17:46 door Anoniem

Goed punt @ Sijmen.

Of de wachtwoorden worden eerst geconvert naar hetzelfde lowercase formaat, en daarna gehashed.

Ik weet t zelf niet, maar dit stinkt

02-02-2011, 18:02 door Syzygy

Ik verbaas me over helemaal niets meer bij de ING

02-02-2011, 18:28 door Korund

Had ik speciaal het wachtwoord ohshee7EiJof gekozen, met hoofdletters, kleine letters en cijfers, is het weer niet goed.

02-02-2011, 20:12 door Syzygy

Door Carborundum: Had ik speciaal het wachtwoord ohshee7EiJof gekozen, met hoofdletters, kleine letters en cijfers, is het weer niet goed.

inderdaad, die hoofdletter 7 had net zo goed een kleine letter 7 kunnen zijn ;-)

02-02-2011, 22:52 door Anoniem

Tot nu toe vulde ik dus elke keer braaf de hoofdletters in.. *zucht*

03-02-2011, 11:33 door Anoniem

Gelukkig checkt de site wel of de gebruikersnaam goed is ingevuld. Daar worden hoofdletters dus wel "gezien". (gelukkig maar want mijn gebruikersnaam is namelijk net zo moeilijk als mijn wachtwoord)

04-02-2011, 07:47 door Anoniem

een wachtwoord van 100 tekens helpt niet
wachtwoorden worden op 20 tekens afgekapt

04-02-2011, 09:17 door Anoniem

Door Anoniem: Gelukkig checkt de site wel of de gebruikersnaam goed is ingevuld. Daar worden hoofdletters dus wel "gezien". (gelukkig maar want mijn gebruikersnaam is namelijk net zo moeilijk als mijn wachtwoord)

Nou of je daar zo gelukkig mee moet zijn? Iedereen binnen redelijk afstand kan je gebruikersnaam mee lezen, omdat deze in tegenstelling van je wachtwoord leesbaar is.
Verder is het opvissen van je nieuwe codes van de ING vrij gemakkelijk want ze worden door de ING naar je adres verstuurt in A vier enveloppe die nogal opvalt.

04-02-2011, 13:40 door Mysterio

En dan nu het antwoord van ING op mijn klacht over dit gebeuren:

Het gebruik van een wachtwoord om in te loggen op uw Mijn ING is echter zeer veilig. Daarnaast ervaren veel klanten het inloggen met inlogcodes als prettig, omdat zij hierdoor niet afhankelijk zijn van bijvoorbeeld een calculator. Graag lichten wij uiteraard het één en ander toe omtrent de veiligheid van Mijn ING.
Mijn ING is alleen met een gebruikersnaam en wachtwoord te benaderen. Elke combinatie van gebruikersnaam en wachtwoord is uniek. Bij het inloggen worden de codes gecontroleerd; alleen wanneer de combinatie goed is, kunt u inloggen.

En dan gaat het verder over https, e-mail en andere niet relevante zaken.

Kortom: geen plannen tot verbetering. Gebruikers ervaren het als prettig. Wederom kan ik me echter niet herinneren dat ooit naar mijn mening is gevraagd over dit specifiek verschijnsel.

Het gaat er trouwens niet om of er iemand iets met mijn geld kan doen, ik vind het wel prettig wanneer het niet zichtbaar is. Wellicht dat het veilig genoeg is, want na een aantal pogingen wordt het zooitje geblokkeerd.

Prettig... tsssk!!!

09-02-2011, 19:15 door Wisperbird

Ik wist dit niet, maar naar mijn mening zijn ze gewoon te eigenwijs en te lui.

Zij bepalen dat ik mijn wachtwoord moet veranderen (dacht dat ik eigen baas was), maar iets simpels als checken of het ingevoerde wachtwoord ook letterLIJK klopt, nee dat kan niet hoor dat ene bitje zal en moet vallen.
(het verschil tussen hoofd of kleine letter is slechts 1 bit).

09-04-2011, 17:12 door Anoniem

heb me nieuw wachtwoord goed ingesteld tekens geeft hij aan fout heb goed me caps lok staan telkens weer 5 dagen wachten op een nieuw wachtwoord balen ik denk dat ilk overstap na andere bank iedere keer klote met die wachtwoorden

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer