Security Professionals - ipfw add deny all from eindgebruikers to any

2 Banken hergebruiken wachtwoord (pincode)

08-02-2015, 09:01 door Dick99999, 40 reacties
Laatst bijgewerkt: 08-02-2015, 09:17
Gisteren avond maakte Kassa op de TV pijnlijk duidelijk dat 2 grootbanken zondigen tegen een gulden wachtwoord regel (pin code): een wachtwoord nooit hergebruiken.

Door schouderen zijn duivelse dieven de pin code van een 81 jarige te weten gekomen. Door de pas te stelen konden zij gewoon inloggen op haar rekening en geld overmaken, omdat de pincode om te betalen wordt hergebruikt bij inloggen op de rekening.

Dat schouderen wordt een groot probleem bij contactloos betalen met de iPhone, zie mijn commentaar op "ING werkt aan contactloos betalen via smartphone", https://www.security.nl/posting/417368/ING+werkt+aan+contactloos+betalen+via+smartphone. Even meekijken en dan de iPhone stelen en binnen ben je bij deze banken. Zouden ze bij die 2 banken echt niet gedacht hebben aan deze gulden regel?

Voor bescherming van de ouderen hoop ik dat de banken snel met een beter antwoord komen dan bij de TV uitzending (zoiets van 'nu zie je hoe belangrijk de pincode is!'). Gelukkig doen mijn banken o.a. de Knab bank, het goed. Een wachtwoord om in te loggen en daarna een reader voor een betaalopdracht.

Al je wilt huiveren t.a.v. andere veligheidsaspecten, zie Kassa:http://kassa.vara.nl/tv/afspeelpagina/fragment/hoeveel-kan-je-per-dag-per-bank-pinnen/speel/1/
Reacties (40)
08-02-2015, 09:43 door Anoniem
Door Dick99999: Gelukkig doen mijn banken o.a. de Knab bank, het goed. Een wachtwoord om in te loggen en daarna een reader voor een betaalopdracht.

Moeten inloggen met een wachtwoord wordt ik al helemaal niet blij van, al zal in het in deze situatie wel hebben geholpen. Bij mijn bank(Triodos) wordt een token generator zonder kaartlezer gebruikt, elke token generator is uniek en ze zullen dus je token generator moeten hebben om te kunnen inloggen op je rekening. Daarnaast kan je zelf de pincode daarvan instellen en hoeft ie dus niet gelijk te zijn aan je bankpas pincode.
08-02-2015, 09:48 door Fwiffo
@TS: Je hebt mensen met een ING rekening die hun wachtwoord (dat je een of twee keer per jaar moet veranderen en niet mag opschrijven) in hun browser opslaan. En die dan ook geen wachtwoord in hun bios, windows account of full harddisk encryptie hebben op een (makkelijk te stelen) laptop. Nu kan je alleen de rekening bekijken omdat je nog TAN codes of een SMS nodig hebt, maar toch. Ik heb hier grote problemen mee en heb mijn ouders dan ook verboden te internetbankieren bij de ING.

Dat is precies het probleem dat deze oude vrouw ook had. Ze deed namelijk niet aan internet bankieren! Ze had niet eens een computer thuis staan!! Toch had de backoffice van de Rabobank dit niet door en ging het pas bij de tweede transactie van de criminelen alarm slaan (vanwege de grote bedragen die van de spaarrekening werden gehaald, niet vanwege het gebruik van internet bankieren).

Er is wel een probleem dat de Raboreader heeft, de de Raboscanner nog meer, en dat is dat je toetsjes van je pincode harder zullen slijten als de andere toetsen. Omdat je de raboreader ook in dient te leveren bij je bank voor het milieu, zou theoretisch een kwaadaardige medewerker je pincode in handen kunnen krijgen (kans van 6 op 4*3*2*1; 6 pogingen, drie bij de automaat en drie met de random reader). De kans hierop schat ik echter niet zo groot als bij het systeem van de ING. Niet iedereen heeft ook een kluis thuis voor TAN codes. En door iemands laptop aan te zetten kan je zien dat die bij de ING bankiert (browser geschiedenis/opgeslagen wachtwoorden in de browser). Dieven kunnen dus een tweede keer terug komen voor deze TAN codes (Je saldo weten ze al). Bijvoorbeeld als je op vakantie bent..

Nog een probleem: Keyloggers... Bij de Raboreader lijkt mij dit onmogelijk. Bij de ING kan dit wel.
08-02-2015, 10:04 door Dick99999 - Bijgewerkt: 08-02-2015, 10:13
@Fwiffo Focusserend op de hoofdlijn:
- dief schoudert pincode,
- dief overvalt oudere,
- dief kan inloggen en hoge bedragen overmaken.
Is dat 'precies het probleem' van de oudere of van de bank? Dat de Rabo als de wiedeweerga (behalve in het weekend) het geld terugstortte, geeft wel aan waar het probleem echt ligt.

@09:43 door Anoniem Ik gaf ook aan dat er banken zijn die het wel goed doen. Maar de 2 uit Radar, toevallig wel hele grote banken, doen het toch niet goed?
08-02-2015, 10:59 door Anoniem
Ik heb hier al vaker uitgelegd dat het systeem van ABN en RABO slecht is en dat van ING veel beter.
Immers bij ABN en RABO is je pas+pincode het enige wat je nodig hebt om in telebankieren in te loggen en opdrachten
te geven, inclusief opdrachten om limieten te verhogen en om spaargeld over te boeken.
Dat is SLECHT. Als je pas geroofd wordt ben je AL je geld kwijt!

De ING doet dit veel beter. Daar heb je NIKS aan een pas voor telebankieren en heb je APART een username,
wachtwoord plus 3rd factor authenticatie voor je telebankieren.
Als je de pas hebt dan kun je daarvan niet de limiet verhogen, dan moet je ook nog die andere 3 hebben.
(veel mensen gebruiken SMS via mobiel als 3rd factor, echter je kunt ook een velletje met tancodes krijgen)

Die miep van de RABO snapte dat niet. "bij ons is alles heel veilig". Kierewiet!
Het is toch idioot dat je een limiet zet op een pas die je met de pas zelf kunt verhogen!
Danny Mekic ging daar niet lang genoeg op door en wist waarschijnlijk ook niet precies hoe het bij ING werkt
omdat hij daar geen rekening heeft en wel eens die leuterverhalen gehoord heeft dat het bij ING slecht is.
(terwijl het juist precies omgekeerd is!)
08-02-2015, 19:43 door Anoniem
Ik wil best geloven dat ING beter beveiligt, maar erg klantvriendelijk zijn ze dan weer niet. Want je wordt voor ongeveer alles gesommeerd om naar de winkel te komen en dat is niet altijd eenvoudig.

(mijn dochter van zestien wil haar ING rekening weer kwijt. Om te kunnen internetbankieren moet ze een aanvraag doen via internet, dan krijgt ze een brief, met die brief moet ze SAMEN MET MIJ naar de bankwinkel en dan kan ze daarna pas internetbankieren. Lekker veilig wel, maar met een werkende ouder en een schoolgaande tiener is het nog niet zo simpel om een tijdstip te vinden dat je tegelijk bij dat bankfiliaal staat binnen openingstijden...)

Ben wel enthousiast over de ASN (digipass voor transacties, wachtwoord voor kijken, bankpas helemaal apart van bankieren) en ook wel over de SNS (idem alleen zonder wachtwoord, minder veilig dus maar wel gebruiksvriendelijker).

Bij ABNAMRO geldt dat als iemand je pas pikt en je PINcode afkijkt, je tot op de laatste veer kaal geplukt kan worden.
08-02-2015, 23:09 door Anoniem
Door Anoniem: Ik wil best geloven dat ING beter beveiligt, maar erg klantvriendelijk zijn ze dan weer niet. Want je wordt voor ongeveer alles gesommeerd om naar de winkel te komen en dat is niet altijd eenvoudig.

(mijn dochter van zestien wil haar ING rekening weer kwijt. Om te kunnen internetbankieren moet ze een aanvraag doen via internet, dan krijgt ze een brief, met die brief moet ze SAMEN MET MIJ naar de bankwinkel en dan kan ze daarna pas internetbankieren. Lekker veilig wel, maar met een werkende ouder en een schoolgaande tiener is het nog niet zo simpel om een tijdstip te vinden dat je tegelijk bij dat bankfiliaal staat binnen openingstijden...)

Ik vind dat dan juist weer heel goed. ING snapt dat kinderen tegenwoordig als geldezel worden ingezet en stelt het
op prijs hen en de ouders persoonlijk te informeren over de verantwoordelijkheden van een bankrekening.

Beveiliging is altijd onhandig. Misschien kun je haar dat beter leren want daar zal ze nog veel mee te maken krijgen.
09-02-2015, 09:48 door Fwiffo
@Dick99999, 10:04: Ach, misschien heeft een usernaam/wachtwoord ook wel zijn voordelen in bepaalde gevallen. Ik ben alleen blij dat mijn bank daar niet aan meedoet (hoef alleen één pincode te onthouden voor alles).

Ik ben vrij goed in het bedenken van wachtwoorden! Maar niet zo goed in het onthouden ervan ;-p
Een token zoals ze bij World of Warcraft gebruiken zou helemaal ideaal zijn voor mij! Dan moet je alleen onthouden waar die ligt.
09-02-2015, 09:57 door Anoniem
Door Anoniem:
Door Anoniem: Ik wil best geloven dat ING beter beveiligt, maar erg klantvriendelijk zijn ze dan weer niet. Want je wordt voor ongeveer alles gesommeerd om naar de winkel te komen en dat is niet altijd eenvoudig.

(mijn dochter van zestien wil haar ING rekening weer kwijt. Om te kunnen internetbankieren moet ze een aanvraag doen via internet, dan krijgt ze een brief, met die brief moet ze SAMEN MET MIJ naar de bankwinkel en dan kan ze daarna pas internetbankieren. Lekker veilig wel, maar met een werkende ouder en een schoolgaande tiener is het nog niet zo simpel om een tijdstip te vinden dat je tegelijk bij dat bankfiliaal staat binnen openingstijden...)

Ik vind dat dan juist weer heel goed. ING snapt dat kinderen tegenwoordig als geldezel worden ingezet en stelt het
op prijs hen en de ouders persoonlijk te informeren over de verantwoordelijkheden van een bankrekening.

Beveiliging is altijd onhandig. Misschien kun je haar dat beter leren want daar zal ze nog veel mee te maken krijgen.

Ze kan nog steeds pinnen en ik heb er nu geen zicht op. Ik zie dan ook niet in waarom de huidige werkwijze helpt om "geldezels" te voorkomen. Bij SNS heb ik inzicht in de jongerenrekeningen, terwijl ze ze ook zelf kunnen beheren. Dat lijkt me een veel sluitender manier om je kinderen in de gaten te kunnen houden dan door de aanvraag van het internetbankieren zo bureaucratisch vorm te geven.

Onhandigheid lijkt me niet het doel van beveiliging en ook geen garantie. "Het is vies dus is het gezond" gaat immers ook niet altijd op.
09-02-2015, 10:16 door Rolfieo
Door Anoniem: Ik heb hier al vaker uitgelegd dat het systeem van ABN en RABO slecht is en dat van ING veel beter.
Immers bij ABN en RABO is je pas+pincode het enige wat je nodig hebt om in telebankieren in te loggen en opdrachten
te geven, inclusief opdrachten om limieten te verhogen en om spaargeld over te boeken.
Dat is SLECHT. Als je pas geroofd wordt ben je AL je geld kwijt!
Mooie kroeg praat. Maar dit is juist meestal niet het geval.
UserID valt niet onder security. En mag je niet rekenen als beveiliging maatregel. Een wachtwoord is erg gemakkelijk te ontcijferen, ze worden veel gehergebruikt, gemakkelijk te caputeren met een keylogger. En met alle virussen en spyware is dit vrij gemakkelijk.
Dan hebben we bij ING nodig, een TAN code, welke van te voren bekend zijn. Deze kunnen per telefoon binnen komen.
Daabij kan je je wachtwoord laten resetten, met je telefoon en de gegevens die in je portemonnee te vinden zijn. Dus eigenlijk is alles te traceren of te vinden met je telefoon en portemonnee.
Daarbij is je telefoon ook niet echt meer secure te nomen. Als je ziet welke apps allemaal toegang hebben tot je SMS gegevens......

Bij Rabo heb je je pas en pin code nodig. Je met dus altijd mee kijken voor de pin code, en je moet de pin pas fysiek in handen hebben.
Dus eigenlijk ook 2 dingen.



De ING doet dit veel beter. Daar heb je NIKS aan een pas voor telebankieren en heb je APART een username,
wachtwoord plus 3rd factor authenticatie voor je telebankieren.
Als je de pas hebt dan kun je daarvan niet de limiet verhogen, dan moet je ook nog die andere 3 hebben.
(veel mensen gebruiken SMS via mobiel als 3rd factor, echter je kunt ook een velletje met tancodes krijgen)

Die miep van de RABO snapte dat niet. "bij ons is alles heel veilig". Kierewiet!
Het is toch idioot dat je een limiet zet op een pas die je met de pas zelf kunt verhogen!
Hier heb je een punt. Hierin zit en design fout.

Danny Mekic ging daar niet lang genoeg op door en wist waarschijnlijk ook niet precies hoe het bij ING werkt
omdat hij daar geen rekening heeft en wel eens die leuterverhalen gehoord heeft dat het bij ING slecht is.
(terwijl het juist precies omgekeerd is!)

Misschien ook een redenen waarom de ING bank juist de bank met de meeste phishing aanvallen? Dat heeft misschien iets te maken dat juist de ING 2Factor authenticatie het gemakkelijkste te omzeilen is?

Dat heeft er mee te maken, dat je met een paar simple gegevens op afstand juist veel meer kan. Met een simple website waarin ik een UserID / Wachtwoord en TAN code bij een gebruiker opvraag, kan ik alles.

Daarbij als ik een UserID / Wachtwoord heb (beide vallen juist NIET onder secure inloggen. Kan ik je afschrijvingen zien. Daaraan kan ik bv weer zeer gemakkelijk paypal koppelen. En klaar. Ik kan je rekening plunderen. Zonder ook maar iets fysiek te moeten hebben doen. Dit kan ik aan de andere kant van de wereld doen, zonder dat ik ook maar iets van je nodig heb.

Juist bij een readers, heb ik altijd een fysieke iets nodig. Bij de ING kan ik alles op afstand.

Hoe je het ook ziet, de ING is minder veilig dan de andere banken.

Dat er een design fout zit bij de Rabobank, dat is zeker het geval. Maar het is nog altijd veiliger......

Misschien moet je juist dit soort verhalen gewoon in de kroeg houden? Want daar horen ze.
09-02-2015, 10:32 door Anoniem
Door Fwiffo: @TS: Je hebt mensen met een ING rekening die hun wachtwoord (dat je een of twee keer per jaar moet veranderen en niet mag opschrijven) in hun browser opslaan. En die dan ook geen wachtwoord in hun bios, windows account of full harddisk encryptie hebben op een (makkelijk te stelen) laptop. Nu kan je alleen de rekening bekijken omdat je nog TAN codes of een SMS nodig hebt, maar toch. Ik heb hier grote problemen mee en heb mijn ouders dan ook verboden te internetbankieren bij de ING.

Dat is precies het probleem dat deze oude vrouw ook had. Ze deed namelijk niet aan internet bankieren! Ze had niet eens een computer thuis staan!! Toch had de backoffice van de Rabobank dit niet door en ging het pas bij de tweede transactie van de criminelen alarm slaan (vanwege de grote bedragen die van de spaarrekening werden gehaald, niet vanwege het gebruik van internet bankieren).

Er is wel een probleem dat de Raboreader heeft, de de Raboscanner nog meer, en dat is dat je toetsjes van je pincode harder zullen slijten als de andere toetsen. Omdat je de raboreader ook in dient te leveren bij je bank voor het milieu, zou theoretisch een kwaadaardige medewerker je pincode in handen kunnen krijgen (kans van 6 op 4*3*2*1; 6 pogingen, drie bij de automaat en drie met de random reader). De kans hierop schat ik echter niet zo groot als bij het systeem van de ING. Niet iedereen heeft ook een kluis thuis voor TAN codes. En door iemands laptop aan te zetten kan je zien dat die bij de ING bankiert (browser geschiedenis/opgeslagen wachtwoorden in de browser). Dieven kunnen dus een tweede keer terug komen voor deze TAN codes (Je saldo weten ze al). Bijvoorbeeld als je op vakantie bent..

Nog een probleem: Keyloggers... Bij de Raboreader lijkt mij dit onmogelijk. Bij de ING kan dit wel.

We hebben ook een betaalrekening bij de Rabo Bank.
Wegens mijn handicap kan ik geen gebruik maken van de betaal automaat.
Haal las volgt geld op: Meld me aan de balie en een medewerker gaat met mijn pasje naar de pinautomaat en pint het gevraagde bedrag voor me. LET WEL ZONDER MIJN PINCODE!!!!
09-02-2015, 11:02 door Anoniem
Door Rolfieo:
Door Anoniem: Ik heb hier al vaker uitgelegd dat het systeem van ABN en RABO slecht is en dat van ING veel beter.
Immers bij ABN en RABO is je pas+pincode het enige wat je nodig hebt om in telebankieren in te loggen en opdrachten
te geven, inclusief opdrachten om limieten te verhogen en om spaargeld over te boeken.
Dat is SLECHT. Als je pas geroofd wordt ben je AL je geld kwijt!
Mooie kroeg praat. Maar dit is juist meestal niet het geval.
Sorry hoor maar er is hier een duidelijk probleem en je komt er niet mee weg om dit kroegpraat te noemen.
Je kunt wel kakelen "maar die andere dingen daar kom ik ook wel aan" maar bij ABN en RABO zijn die andere
dingen HELEMAAL NIET AANWEZIG. Je hoeft ALLEEN pas en pincode te hebben. SLECHT SLECHT SLECHT.


Misschien ook een redenen waarom de ING bank juist de bank met de meeste phishing aanvallen? Dat heeft misschien iets te maken dat juist de ING 2Factor authenticatie het gemakkelijkste te omzeilen is?

Zou kunnen, maar van phishing aanvallen raak je je geld niet kwijt. Daat zit je zelf tussen, daar ga je niet op in.
Klik weg. Hang op. Bel je bank.

Bij de ABN en RABO ben je je geld echter dan al kwijt. Ja ze geven het terug om niet negatief in het nieuws te
komen, maar de beveiliging heeft gefaald. Bij ING faalt die pas als de gebruiker dom is.
09-02-2015, 11:13 door Anoniem
Door Rolfieo:
Door Anoniem:

Juist bij een readers, heb ik altijd een fysieke iets nodig. Bij de ING kan ik alles op afstand.

Hoe je het ook ziet, de ING is minder veilig dan de andere banken.

Dat er een design fout zit bij de Rabobank, dat is zeker het geval. Maar het is nog altijd veiliger......

Misschien moet je juist dit soort verhalen gewoon in de kroeg houden? Want daar horen ze.

en readers die kan niet iedereen zo krijgen?
Die readers zijn ook zo verkrijgbaar en je moet meestal je pas er in doen ( dat passen worden gekopieerd komt ook vaak voor, je hoeft maar een keer ergends je pas in gestoken te hebben waar gewoon een kopietje gemaakt zou zijn. ) dus eigenlijk is je statement niet geldig.
NIKS is secure zelfs je geld ophalen bij een bank kan ook na gedaan worden.
09-02-2015, 11:17 door Dick99999
Door Rolfieo:
Mooie kroeg praat. Maar dit is juist meestal niet het geval.
UserID valt niet onder security. En mag je niet rekenen als beveiliging maatregel. Een wachtwoord is erg gemakkelijk te ontcijferen, ze worden veel gehergebruikt, gemakkelijk te caputeren met een keylogger. En met alle virussen en spyware is dit vrij gemakkelijk.
[........................]
Mooie kroeg praat.Ontcijfer maar eeens een goed wachtwoord, dan ervaar je hoe onmogelijk dat is. Hergebruik is nu juist waar deze hele zaak om draait: de pin code word bij die 2 banken hergebruikt!! , of heb je dat gemist?
Daarbij als ik een UserID / Wachtwoord heb (beide vallen juist NIET onder secure inloggen.
Mooi statement, ik dacht dat hier security proffesionals aan het woord waren ........
09-02-2015, 11:42 door Rolfieo
Door Dick99999:
Door Rolfieo:
Mooie kroeg praat. Maar dit is juist meestal niet het geval.
UserID valt niet onder security. En mag je niet rekenen als beveiliging maatregel. Een wachtwoord is erg gemakkelijk te ontcijferen, ze worden veel gehergebruikt, gemakkelijk te caputeren met een keylogger. En met alle virussen en spyware is dit vrij gemakkelijk.
[........................]
Mooie kroeg praat.Ontcijfer maar eeens een goed wachtwoord, dan ervaar je hoe onmogelijk dat is. Hergebruik is nu juist waar deze hele zaak om draait: de pin code word bij die 2 banken hergebruikt!! , of heb je dat gemist?
Dat heb ik zeker niet gemist.

Maar aangezien ongeveer 90% van alle gebruikers de zelfde wachtwoorden gebruikt op alle sites,
de meeste een gemakkelijk te raden wachtwoord heeft.
Je het ING wachtwoord kan resetten met alle gegevens in je portemonnee en je telefoon (of had jij dat gemist).
Wachtwoorden zeer gemakkelijk te ontcijferen zijn met spyware / adware. Wat bijna tegenwoorden normaal is. en dan ga ik nog niet eens in op alle expoits die er bestaan om een banking Trojan te installeren.
Je kan met je ING wachtwoord nog steeds je de complete rekening kan leeg plunderen (paypal), of alle geplande transacties annuleren.

Een wachtwoord om in te loggen bij telebankieren is 1995 techniek om in te loggen.

Het maakt niet uit hoe sterk je wachtwoord is of uit hoeveel special karakters het bestaat. Het is gewoon zeer gemakkelijk te onderscheppen, waarna je al zeer veel kan doen op je ING rekening.


Daarbij als ik een UserID / Wachtwoord heb (beide vallen juist NIET onder secure inloggen.

Mooi statement, ik dacht dat hier security proffesionals aan het woord waren ........

Dat dacht ik ook, Misschien even uit de kroeg komen en in de spiegel kijken?

Alle punten die je aanhaalt, zijn gemakkelijk onderuit te halen met wat ik vermeld heb. Dat jouw wachtwoord complex en sterk is, das mooi. Maar met 1 keylogger volledig waardeloos.

Bij security specialisten valt ING, onder de minst veilige 2 factor authenticate. Dat wil niet zeggen dat ze onveilig zijn. Maar hun 2 factor authenticatie is het minst veilig.

Maar blijkbaar is de ING het meest interessant en het gemakkelijkst voor misbruikt. Misschien met een redenen? Of heb jij hier een betere verklaring voor?

https://www.fraudehelpdesk.nl/alerts/meeste-phishingmails-komen-van-ing/

Waarom zou ING het meest aangevallen worden met phishing sites? En juist de andere banken niet?

Oja, en heb zelf de Rabobank, ASN en ING. Dus ik heb ervaring met beide banken.
ING is het gemakkelijkste omdat ik overal met mijn wachtwoord en telefoon kan betalen. Daarom staat hier het minste van geld op.
Mijn Rabobank, vat momenteel mijn spaar geld. Maar met dit in gedachte ga ik hier zeker actie op ondernemen. Maar dat is op basis van de kassa ervaring, niet advies vanuit een kroeg praat.
09-02-2015, 12:07 door Anoniem
De RABO is erg onveilig. Toen mijn random reader kapot ging kreeg ik zo een nieuwe, ik hoefde me niet eens te identificeren.
Dat betekent dat elke boef gemakkelijk aan een random reader kan komen. Als een boef, in het bezit van een random reader, je pin afkijkt en vervolgens je pinpas rolt, kan hij alles met je RABO rekening.

Ik heb ook een ING internet rekening en voel me daar veel veiliger. Ik heb een wachtwoord van 16 willekeurige tekens dat ik versleuteld in een anoniem file heb opgeslagen en via het clipboard invoer bij de ING (geen keylogging). Mijn vrouw weet ook hoe ze dat moet doen. Als een boef de ING pinpas van mij of m'n vrouw rolt en de pin afkijkt, moet hij (i) uitvogelen waar we wonen, (ii) bij ons inbreken, (iii) het TANcode blaadje vinden (iv) onze computer stelen (v) het gecodeerde file op de harde schijf tussen tienduizenden andere files vinden en (vi) het wachtwoord van het versleutelde file gissen. Dat laatste wachtwoord is een passphrase dat mijn vrouw en ik moeten onthouden, maar nergens opgeschreven staat. Dit alles onder de aanname dat de boef bekend is met deze veiligheidsprocedure. Vergelijk deze veiligheid eens met die van de RABO.
09-02-2015, 12:13 door Dick99999
Door Rolfieo:
[.............]
Bij security specialisten valt ING, onder de minst veilige 2 factor authenticatie. Dat wil niet zeggen dat ze onveilig zijn. Maar hun 2 factor authenticatie is het minst veilig.
[.............]
Ik beperk mij tot de hoofdzaak en zal niet vragen naar 1 referentie met onderbouwing van 'Maar aangezien ongeveer 90% van alle gebruikers de zelfde wachtwoorden gebruikt op alle sites, '

Secutity gaat over risicoafweer (en privacy bescherming). Het risico van afkijken en stelen van de pas is bij die 2 banken duidelijk minder (niet) afgedekt en is bij de ING, KNAB en anderen wel afgedekt. Dus je bewering is in dit geval niet waar.

Maar de hele discussie gaat langzamerhand over welke bank een betere beveiliging heeft. De discussie zou volgens mij moeten gaan over wat die 2 banken moeten doen om dat risico af te dekken!
09-02-2015, 12:33 door Anoniem
Rolfieo hou nou eens op met dat afdwalen!
Dit gaat over "men kijkt in de supermarkt je PIN af en pikt vervolgens je pas" (of idem bij de pinautomaat, parkeerautomaat
e.d.) en vervolgens hebben ze ALLES wat ze nodig hebben om AL je geld (saldo en spaargeld) te jatten.

Die mensen die hebben NIET je username, NIET je password, NIET je telefoon, GEEN keylogger op je PC, enz enz.

Dus sleep dat er ook niet allemaal bij. Anders kan ik wel zeggen als ze een pistool hebben dan hebben ze evengoed
je geld.

Zoals altijd geldt: dat er mogelijk nog (theoretische) lekken in een beveiliging zitten betekent nog niet dat die hele
beveiliging daarmee niks doet. Dat schijn jij wel te denken.
09-02-2015, 14:12 door Rolfieo
Door Anoniem: Rolfieo hou nou eens op met dat afdwalen!
Dit gaat over "men kijkt in de supermarkt je PIN af en pikt vervolgens je pas" (of idem bij de pinautomaat, parkeerautomaat
e.d.) en vervolgens hebben ze ALLES wat ze nodig hebben om AL je geld (saldo en spaargeld) te jatten.

Die mensen die hebben NIET je username, NIET je password, NIET je telefoon, GEEN keylogger op je PC, enz enz.
En over hoeveel mensen of incidenten hebben we het nu? Er is er 1 in kassa, en er zullen er zeker nog veel meer zijn. Maar hoevaak heeft de ING daar niet gezeten? Omdat mensen UserID / Password en TAN codes op een "website" hebben ingevuld?

Dat dit misbruikt wordt zal ik echt niet ontkennen.

Maar even anders iemand rolt je portemonnee (of bankpas en ID), en je telefoon. Zelfde effect, ik heb voldoende om je rekening te bekijken en leeg te halen.
En hoe vaak wordt een portemonnee of telefoon niet gestolen of gerold door criminelen?


Dus sleep dat er ook niet allemaal bij. Anders kan ik wel zeggen als ze een pistool hebben dan hebben ze evengoed
je geld.
Hier doe je inderdaad ook weinig tegen. Maar hoevaak wordt dit gedaan? Waarbij een overval 9 van de 10 keer, portemonnee of telefoon willen hebben en vragen ze je niet om je pin code [/quote]
Zoals altijd geldt: dat er mogelijk nog (theoretische) lekken in een beveiliging zitten betekent nog niet dat die hele
beveiliging daarmee niks doet. Dat schijn jij wel te denken.[/quote]
Het is maar wat theorie is. Aangezien ING de meeste phishing heeft. Blijkbaar is de ING beveiliging het gemakkelijkste te misbruiken hiervoor.

En ja Rabobank en ABN zijn inderdaad vatbaar voor dit misbruik. Dat ontken ik ook niet. Maar het is ook betrekken gemakkelijk te detecteren door de systemen. Waarschijnlijk zelfs al actief. (Ifmax te pinnen bedrag aanpassing wordt gedaan van een niet vaker gebruikt IP => Alarm).

Sterker nog ABN gebruikte in het verleden zelfs de zelfde methode voor inloggen en betalen. Iets wat weer anders werkt dan de Rabobank. Dus was zeer slecht beveiligd.

Ik ontken dus ook totaal niet wat dit systeem te misbruiken is.

Ik reageer er op:

Door Anoniem: Ik heb hier al vaker uitgelegd dat het systeem van ABN en RABO slecht is en dat van ING veel beter.

Dit klopt niet. Want de ING heeft juist een veel zwakker systeem dan de Rabobank of ABN, wat veel gemakkelijker en vaker wordt misbruikt van de Rabo of ABN.

Het is maar net wat vaker voorkomt.... Of hoevaak het (mis)bruikt wordt.

Want ieder systeem heeft problemen en moet afgewogen worden tussen security en gebruikers gemak.
09-02-2015, 14:41 door Anoniem
Ik heb hier al vaker uitgelegd dat het systeem van ABN en RABO slecht is en dat van ING veel beter.

Je kan dat zo vaak uit leggen als je wilt. Feit blijft echter wel dat je stelling helemaal niet klopt. Bij ING kan je zo met gebruikersnaam en wachtwoord inloggen. Bij de Rabo heb je ook de bankpas nodig, het nummer van de pas, het one time password dat je moet genereren en dergelijke.

Bij de ING loop je zo naar binnen, en heb je pas multifactor authenticatie bij het verzenden van opdrachten. Het systeem met de TAN code is niet veiliger dan bijvoorbeeld het systeem met de Random Reader bij de Rabobank.

Bij beide krijg je een One Time Password, waarbij je bij de ING de telefoon van de rekening houder nodig hebt (of deze spooft), bij de Rabobank heb je meer nodig om je OTP te genereren, zoals je pas en je pincode.

Immers bij ABN en RABO is je pas+pincode het enige wat je nodig hebt om in telebankieren in te loggen

Bij de ING heb je alleen een gebruikernaam en statisch wachtwoord nodig wat eindeloos wordt hergebruikt. Dat is een stuk slechter geregeld dan bij de Rabobank, waar je je pas en pincode nodig hebt om een one time password te genereren, wat hergebruik van gestolen credentials onmogelijk maakt.

Wat dat betreft is het binnenkomen op de omgeving van de ING veel *slechter* beveiligd dan bij de Rabobank, en het feit dat je bij de ING je pas en pincode niet nodig hebt is dus geen voordeel vanuit beveiligings oogpunt.
09-02-2015, 14:54 door Anoniem
Die miep van de RABO snapte dat niet. "bij ons is alles heel veilig". Kierewiet! Het is toch idioot dat je een limiet zet op een pas die je met de pas zelf kunt verhogen!

Incorrect. De standaard limiet is bij de Rabobank lager, en de maximale limiet die je in kan stellen bij de Rabo (waarvoor je je pas, pincode en random reader nodig hebt) is gelijk aan de standaard limiet bij de ING.

Standaard limiet ING : 5000 euro per week (1000 per dag)
Standaard limiet Rabo : 1250 euro per week
Maximale limiet Rabo : 5000 euro per week

Met andere woorden, je kunt bij de Rabo indien gewenst, na authenticatie met je random reader, je limiet zo verhogen dat je uiteindelijk hetzelfde risico loopt als het risico wat ING klanten altijd lopen. Meer risico lopen is niet mogelijk, minder is de standaard.

Als je pas geroofd wordt ben je AL je geld kwijt!

Je kletst uit je nek. Immers heb je bij ABN, ING en Rabo te maken met limieten, en die limieten kan je aanpassen binnen bepaalde grenzen, maar niet uitschakelen.
09-02-2015, 18:51 door Euro10000
Hoe zou je bijv je spaarrekening, kunnen afschermen.
Want bij abn, zie je bij internet bankieren ook gelijk je spaarrekening, die dus leeg gemaakt zou kunnen worden.

Zou je misschien 2 x aparte internet bankieren kunnen hebben, bij de abn.
Wie weet hier een oplossing?
09-02-2015, 19:17 door Anoniem
Door Anoniem:
Die miep van de RABO snapte dat niet. "bij ons is alles heel veilig". Kierewiet! Het is toch idioot dat je een limiet zet op een pas die je met de pas zelf kunt verhogen!

Incorrect. De standaard limiet is bij de Rabobank lager, en de maximale limiet die je in kan stellen bij de Rabo (waarvoor je je pas, pincode en random reader nodig hebt) is gelijk aan de standaard limiet bij de ING.

Standaard limiet ING : 5000 euro per week (1000 per dag)
Standaard limiet Rabo : 1250 euro per week
Maximale limiet Rabo : 5000 euro per week

Met andere woorden, je kunt bij de Rabo indien gewenst, na authenticatie met je random reader, je limiet zo verhogen dat je uiteindelijk hetzelfde risico loopt als het risico wat ING klanten altijd lopen. Meer risico lopen is niet mogelijk, minder is de standaard.

Nee dat zie je verkeerd! Bij ING stel je zelf een veilige lage limiet in en die kan de dief niet verhogen.
Bij ABN en RABO kun je de limiet net zo goed laten staan zoals die is want degene die je pas en pincode heeft, dus
die je met die limiet ervan af zou willen houden dat hij veel geld steelt, kan zelf die limiet verhogen.
("authenticatie met je random reader" is niks extra want het is alleen authenticatie met je pas en pincode, en IEDERE
willekeurige random reader. daar zijn er miljoenen van in omloop, en die dingen zijn allemaal hetzelfde)


Als je pas geroofd wordt ben je AL je geld kwijt!

Je kletst uit je nek. Immers heb je bij ABN, ING en Rabo te maken met limieten, en die limieten kan je aanpassen binnen bepaalde grenzen, maar niet uitschakelen.

Wat jij even vergeet is dat je met die pas ook geld kunt overboeken naar een andere rekening en dat daar de boven
genoemde limieten niet voor gelden. Er zitten wellicht andere limieten op maar die liggen VEEL hoger!
(bijvoorbeeld 20.000 of 50.000 euro)

Daarnaast kun je ook nog eens de opdracht geven om geld te verplaatsen van spaar naar betaal rekening.
Dat kan bij ING ook niet met een pas en pincode.
09-02-2015, 19:51 door Rolfieo
Door Euro10000: Hoe zou je bijv je spaarrekening, kunnen afschermen.
Want bij abn, zie je bij internet bankieren ook gelijk je spaarrekening, die dus leeg gemaakt zou kunnen worden.

Zou je misschien 2 x aparte internet bankieren kunnen hebben, bij de abn.
Wie weet hier een oplossing?
Verschillende banken.... waarbij je bij een andere bank, alleen een spaar rekening hebt. Zodat je alleen kan overboeken tussen je betaal rekening bij bank A en je spaar rekening bij bank B.
09-02-2015, 22:13 door Euro10000
Dank voor de info Rolfieo.
09-02-2015, 23:06 door Anoniem
Door Anoniem:
De ING doet dit veel beter. Daar heb je NIKS aan een pas voor telebankieren en heb je APART een username,
wachtwoord plus 3rd factor authenticatie voor je telebankieren.
Als je de pas hebt dan kun je daarvan niet de limiet verhogen, dan moet je ook nog die andere 3 hebben.
(veel mensen gebruiken SMS via mobiel als 3rd factor, echter je kunt ook een velletje met tancodes krijgen)
Vind je?
- Er is bij papieren TAN-lijsten geen enkele relatie tussen de TAN en de inhoud van de transactie. Dat maakt het bij een MITM-aanval erg eenvoudig om een TAN voor een volledig andere transactie te gebruiken dan die de klant denkt in te leggen. Dáárom gebruiken de meeste banken ze allang niet meer. Bij RABO is bij de random reader het bedrag onderdeel van de challenge, en boven een bepaalde limiet de tegenrekening (hoewel ik niet weet hoe dit tegenwoordig met IBAN precies gaat) en bij hun nieuwe systeem de volledige transactiegegevens. Daar zie je op dat apparaatje de gegevens waar je voor tekent.
- De pincode kan dan wel afgekeken worden, maar met een wachtwoord kan dat ook, waar dacht je dat keyloggers voor dienen? Die zijn gegarandeerd niet geïnstalleerd op een apparaat dat niet op je pc kan worden aangesloten.
- Het systeem van ING lijkt me erg kwetsbaar als de transactie en de SMS-tan via dezelfde smartphone worden afgehandeld waarop de nietsvermoedende gebruiker de browser wachtwoorden laat bewaren. En als een inbreker smartphone en TAN-lijst meeneemt heb je hetzelfde probleem. Ook heb ik al geruime tijd geleden nieuws voorbij zien komen van smartphones die op zodanige wijze via aansluiting op een pc besmet werden dat de aanvaller controle over beide had. TAN-codes via SMS zou ik alleen vertrouwen als die op een domme telefoon worden gebruikt waarmee je niet het internet op kan.

Dat je limieten kan veranderen met dezelfde pincode die je buiten de deur gebruikt is inderdaad zwak, maar maak jezelf alsjeblieft niet wijs dat ING niet zijn eigen zwakke plekken heeft.
Door Fwiffo:Er is wel een probleem dat de Raboreader heeft, de de Raboscanner nog meer, en dat is dat je toetsjes van je pincode harder zullen slijten als de andere toetsen.
Bij de Random Reader die ik nu al heel wat jaren in gebruik heb is nog werkelijk niets van slijtage te zien, maar het is goed om daar verdacht op te zijn. Ik pak nu meteen de gewoonte op om af en toe eens stevig over alle cijfertoetsen te wrijven terwijl hij uitstaat.

Is het probleem bij de scanner volgens jou groter omdat je daar geen challenges intypt en de toetsen alleen voor de pincode gebruikt worden?
10-02-2015, 06:52 door Anoniem
Als het dan toch over de beveiliging van bank A tegenover bank B moet gaan, laten we het eens vanuit een ander standpunt bekijken.

Heeft er recent bij een van de banken al een massale hack plaatsgevonden?

Nee? Prima beveiliging. Ja? Moet er toch het een en ander veranderd worden.

Een "goede beveiliging" is niet absoluut te bepalen. Het hangt af van de omgeving waarin beveiligd moet worden en de huidige omstandigheden. Een ontzettend slecht voorbeeld:

Naar mijn mening is elk soort beveiliging wel op een of andere manier "goed" te lullen. Wat maakt het uit welke bank op dit moment betere beveiliging heeft? Er worden, naar mijn weten, nauwelijks bankaccounts gehackt (laten we daar even de mensen die in phishing trappen buiten houden, want dat heeft vind ik niks te maken met het beveiligingssysteem op zich en komt puur neer op dom handelen).
10-02-2015, 09:46 door Dick99999 - Bijgewerkt: 10-02-2015, 10:21
Eens met 06:52 Anoniem, ofwel vergelijken zonder risico analyse is zinloos en 'beter dan goed' is niet altijd beter. Ik zie die vergelijkingen in deze discussie dan ook als afleidingsmanoeuvres.

Het risico 'crimineel kijkt pin code af, crimineel steelt pinpas van een oudere, crimineel plukt rekening leeg' is duidelijk niet afgedekt bij RABO en ABN en wel tegengegaan bij ING, KNAB, ASN, SNS en Triodos.

Vooral voor ouderen is dit een risico en die groep vraagt juist om een betere bescherming. Die verbetering zou van de banken moeten komen (2-de pincode, wachtwoord etc.) maar intussen zouden ook supermarkten en warenhuizen kunnen helpen: een 'wacht hier' streep op de grond bij de kassa (zoals soms bij Hema) en caissières goed laten opletten en pinner waarschuwen bij afkijken.

Dat dit slechts een paar keer per jaar voorkomt (Rabo op kassaTV) betekent niet dat de criminelen dit nu dit grootschalig beken is, voortaan ook maar een paar keer zullen doen!
10-02-2015, 11:35 door Anoniem
Door Anoniem:
Door Anoniem:
De ING doet dit veel beter. Daar heb je NIKS aan een pas voor telebankieren en heb je APART een username,
wachtwoord plus 3rd factor authenticatie voor je telebankieren.
Als je de pas hebt dan kun je daarvan niet de limiet verhogen, dan moet je ook nog die andere 3 hebben.
(veel mensen gebruiken SMS via mobiel als 3rd factor, echter je kunt ook een velletje met tancodes krijgen)
Vind je?

Ja dat vind ik. En dat blijf ik vinden.
Ik vind namelijk dat het systeem op zich goed in elkaar zit, en dat de gebruiker zelf moet blijven opletten.
Het zal best dat er vanalles mogelijk is als je maar onzorgvuldig genoeg bent, maar bij het ABN en RABO systeem is
het al lek voordat je onzorgvuldig geweest bent. Helemaal niet "maar als nou dit" en "stel dat de hacker dat" toestanden
nodig, alleen een pinpas met pincode. En die heb je heel wat makkelijker te pakken dan al die andere dingen.
10-02-2015, 11:39 door Fwiffo
Door Anoniem:
Door Fwiffo:Er is wel een probleem dat de Raboreader heeft, de de Raboscanner nog meer, en dat is dat je toetsjes van je pincode harder zullen slijten als de andere toetsen.
Bij de Random Reader die ik nu al heel wat jaren in gebruik heb is nog werkelijk niets van slijtage te zien, maar het is goed om daar verdacht op te zijn. Ik pak nu meteen de gewoonte op om af en toe eens stevig over alle cijfertoetsen te wrijven terwijl hij uitstaat.

Is het probleem bij de scanner volgens jou groter omdat je daar geen challenges intypt en de toetsen alleen voor de pincode gebruikt worden?
Idd. Ik heb deze techniek uit de Hack-Tic 22-23/1993 pagina 48-51. "Eerst een paar algemene technieken voor codesloten: als je met een gummetjes over alle toetsjes gumt dan zal de eerste gebruiker de restjes gum alleen wegwrijven van de gebruikte toetsen. Dit betekent dat je het aantal mogelijke combinaties sterk kunt reduceren. Je kunt er ook met een UV-stift op krassen en dan met een UV-lamp kijken welke toetsen zijn aangeraakt."

Als ik mijn handen heb ingesmeerd met crème en ik toets mijn wachtwoord in, dan doe ik daar ook altijd nog even snel een "The Quick Brown Fox Jumped over the Lazy Dog" achteraan (plus cijfers en leestekens indien nodig).
10-02-2015, 14:08 door Rolfieo
Door Anoniem:

Ja dat vind ik. En dat blijf ik vinden.
Dat mag je vinden. Wil niet zeggen dat het ook zo is. Praktijk wijst uit dat het ING systeem minder veilig is dan de token generators van de andere banken. Dat wil niet zeggen dat de token generators niet te misbruiken zijn. Maar het is een stuk lastiger op afstand te doen.

Ik vind namelijk dat het systeem op zich goed in elkaar zit, en dat de gebruiker zelf moet blijven opletten.
Zowel bij ING (Password / TAN Codes) als je Rabobank (Bankpas + PIN code) kunnen eigenlijk alleen maar door onzorgvuldigheid van de gebruiker misbruikt worden. Een eigenschap van de Rabobank is alleen dat je altijd fysiek de bankpas moet hebben icm met de pin code.
Voor de ING kan alles op afstand. En dat gaat tegenwoordig zeer gemakkelijk, met alle Adobe reader, Adobe flash en Java exploits die er bestaan.

Het zal best dat er vanalles mogelijk is als je maar onzorgvuldig genoeg bent, maar bij het ABN en RABO systeem is
het al lek voordat je onzorgvuldig geweest bent.
Ook als als je bij ING onzorgvuldig bent, heb je exact het zelfde. Met een simple UserID en Wachtwoord kan men ook al je rekening plunderen. Immers voor een paypal koppeling heb je niet meer nodig.
Helemaal niet "maar als nou dit" en "stel dat de hacker dat" toestanden
De praktijk wijst uit dat dit allang niet theoretisch is. En met grote regelmaat misbruikt wordt. Ik zie dagelijks banking trojans voorbij komen.

nodig, alleen een pinpas met pincode. En die heb je heel wat makkelijker te pakken dan al die andere dingen.
Waarom is dan de ING nog steeds de meest gespoofde site? Dit klopt niet met wat jij nu beweerd.
Blijkbaar toch een stuk gemakkelijker te misbruiken vanuit de andere kant van de wereld. Iets wat met een fysieke actie (bankpas) erg lastig is.
10-02-2015, 14:50 door Dick99999 - Bijgewerkt: 10-02-2015, 16:46
Door Rolfieo:
[...............]
Je het ING wachtwoord kan resetten met alle gegevens in je portemonnee en je telefoon (of had jij dat gemist).
[...............]
Ik heb deze verontrustende bewering voor de zekerheid nog even nagegaan. De bewering is niet waar. De reset procedure komt echter wel in de buurt van wel waar. Bij een consumenten rekening van de ING heb je voor een reset van het wachtwoord nodig: Gebruikersnaam, rekening nummer, geboortedatum, een TAN code en soms(?) een phone unlock code..

De gebruikersnaam zit niet in mijn portemonnee of telefoon. De TAN code kan je op die gestolen telefoon krijgen (ik neem aan dat 80-90% en telefonische SMS TAN gebruikt).
edit: ook als de langere ING wachtwoord SMS niet geheel zichtbaar is op het message centre van het iPhone lockscreen, kan je zonder unlock code de TAN code zien door te antwoorden.

Bewering is niet waar, maar Ik vind wel dat de ING veel te snel een wachtwoord reset toestaat, want niet iedereen kiest een ongebruikelijke gebruikersnaam. Bij de ING wordt ik in geval van een nieuwe Sim kaart 48 uur uitgesloten van Internet bankieren. Dat mag met een nieuw wachtwoord ook wel 24-48 uur duren!
10-02-2015, 16:07 door Anoniem
Door Dick99999:
Door Rolfieo:
[...............]
Je het ING wachtwoord kan resetten met alle gegevens in je portemonnee en je telefoon (of had jij dat gemist).
[...............]
De gebruikersnaam zit niet in mijn portemonnee of telefoon.

Een gebruikers naam valt niet onder een geheim / secure iets, en mag je niet rekenen als beveiliging.
10-02-2015, 16:11 door Anoniem
Door Rolfieo:
Door Anoniem:

Ja dat vind ik. En dat blijf ik vinden.
Dat mag je vinden. Wil niet zeggen dat het ook zo is.

Hee kom even van die ivoren toren af en ga naar de feiten kijken, wil je!

Praktijk wijst uit dat het ING systeem minder veilig is dan de token generators van de andere banken./quote]

Jij hebt het steeds maar over Phishing. Dat is iets waar ik niet op in ga want dat is voor de dommen.
Waar ik het over heb is straatrovers. Dat vind ik veel belangrijker want dat kan iedereen zomaar overkomen.
Daartegen is ING beter beveiligd dan ABN en RABO omdat ING nog extra factoren heeft (gebruikersnaam, password,
TANcode) die ABN en RABO niet hebben.

En dat is gewoon een feit. Ook als jij vindt van niet.
10-02-2015, 20:36 door Rolfieo
Door Anoniem:
Door Rolfieo:
Door Anoniem:

Ja dat vind ik. En dat blijf ik vinden.
Dat mag je vinden. Wil niet zeggen dat het ook zo is.

Hee kom even van die ivoren toren af en ga naar de feiten kijken, wil je!
Dat doe ik al.

Feit: ING => Meeste phishing. Zie de link die al ik eerder gepost hebt.

En wat iemand vind, hoeft niet waar te zijn.

Ik kom met feiten. En kijk niet maar mijn persoonlijke oplossing.Want mij zal beide nooit overkomen.
Net zoals als jouw wachtwoord zeker sterk zal zijn. Echter 1 keer een virus op je computer, en je wachtwoord stelt niets meer voor. Men heeft toegang tot je afschriften.



Praktijk wijst uit dat het ING systeem minder veilig is dan de token generators van de andere banken.

Jij hebt het steeds maar over Phishing. Dat is iets waar ik niet op in ga want dat is voor de dommen.
Het zelfde geld voor PIN code afkijken. Dat is ook voor dommen. Toch gebeurt Phishing zeer veel, want dit is juist iets waar eind gebruikers helemaal geen weet van hebben. Oude flash versie, tja toevallig een malafide advertentie, en geïnfecteerd. Staat vaak genoeg op tweakers of andere ICT nieuws sites.
Of gebruikers die gewoon even een vreemde Email openen...... rekenen.zip.exe... Komt zo vaak voor.

En men kan alles op afstand doen. Terwijl een bankpas altijd iets fysieke nodig heeft.

Dit is dus niet iets voor de dommen, maar gewoon dagelijks realiteit.

Waar ik het over heb is straatrovers. Dat vind ik veel belangrijker want dat kan iedereen zomaar overkomen.

Een straat rover, zou ik liever een zakkenroller willen noemen. Immers die kijkt je Pin code af en rolt je bank pas.

Een overvaller, vraagt niet zo snel om je pin code. En wat belet hem dan om jouw gebruikers naam en wachtwoord dan ook meteen te vragen?

Een rootkits of andere exploits kan ook iedereen zomaar overkomen. Die komen veel vaker voor dan overvallen. Daarmee wil ik niet zeggend dat er geen overvallen gedaan worden.
http://tweakers.net/reviews/3614/1/overal-een-kans-op-een-virus-hoe-banners-worden-misbruikt-inleiding.html
http://tweakers.net/nieuws/98070/java-punt-com-verspreidde-malware-via-java-exploits.html

Daartegen is ING beter beveiligd dan ABN en RABO omdat ING nog extra factoren heeft (gebruikersnaam, password, TANcode) die ABN en RABO niet hebben.

Beter beveiligd noem ik niet. Maar je kan wel minder, als je een bankpas en pin code hebt. Bij de ING kan je nog steeds de huidige betaal rekening plunderen.
Maar bij de Rabobank (en andere) kan je inderdaad inloggen, en dingen aanpassen. Maar ook weer iets wat betrekkelijk gemakkelijk te detecteren is door fraude systemen.

En dat is gewoon een feit. Ook als jij vindt van niet.
Het is inderdaad een feit dat je bij de Rabobank veel meer met een bankpas en pin code kan. Dat ontken ik ook niet.
Maar dat wil niet zeggen dat het systeem onveiliger is.

Vanuit de security architectuur is een fysiek benodigd iets altijd sterker dan iets wat volledig op afstand gedaan kan worden.
Een wachtwoord kan ik maanden geleden al onderschept hebben, voordat ik iets mee doe. En de gebruiker zal dit niet weten, totdat ik hem een keer misbruik.
Mijn bankpas gebruiker ik meerdere keren per week. Als ik die mis, heb ik het snel door.

Met een simple UserID / Wachtwoord kan ik een paypal rekening koppelen aan iemand zijn ING rekening. Die moet ik natuurlijk wel eerst krijgen. Maar dat is voor "domme gebruikers" zoals jij ze noemt, geen probleem. Die zijn er in overvloed. Gewoon omdat de meeste gebruikers er helemaal geen weet van hebben, hoe en of wat ze doen met een computer.

Dit is ook een feit..... Net zoals het een feit is dat je bij de Rabobank meer kan met een bankpas en pincode.
11-02-2015, 10:25 door Anoniem
Er wordt in dit topic heel hard geroepen dat bank A beter is dan B, en dat Kassa zus en zo roept, maar waar zijn de feiten? De banken concurreren onderling NIET op veiligheid, ze zijn allemaal even veilig (in theorie!). Er is (bij mijn weten) dan ook geen enkele bank in Nederland die je kan/wil vertellen hoeveel geld zij per jaar verliezen aan fraude. Zonder die gegevens kun je onmogelijk stellen dat bank A veiliger is dan B. En dan moet je dit ook nog bekijken per duizend klanten, de ING is bijvoorbeeld vele malen groter dan de SNS.

En ja, er zijn wel wat cijfers van de NVB, maar dat is een verzameling van álle banken die zijn aangesloten bij de NVB. En dus kun je wederom niet zien of bank A nu daadwerkelijk veiliger is dan bank B.

Volgens dit topic doet de bank waar ik zelf voor werk, het nogal slecht. Uit eigen ervaring en informatie van collega's bij de andere banken, weet ik dat we stiekum beter doen dan de anderen.... Een leuke discussie, maar zonder feiten gaat het alleen maar om onderbuikgevoelens.

Ik ben er overigens wel een voorstander van dat banken worden verplicht om per type fraude de totaalschade te publiceren. Zo is marktplaats-fraude heel wat anders dan phishing, malware of een gestolen bankpas. Concurrentie op veiligheid zorgt er ook voor dat een bank het beter moet doen dan de anderen. En daar wordt de klant uiteindelijk beter van, die krijgt een veiliger bank.
11-02-2015, 11:32 door Anoniem
Door Anoniem:
Volgens dit topic doet de bank waar ik zelf voor werk, het nogal slecht. Uit eigen ervaring en informatie van collega's bij de andere banken, weet ik dat we stiekum beter doen dan de anderen....

Ik snap niet hoe je bij het onderwerp van deze discussie "er is een limiet op de bestedingen via een pinpas die je kunt
verhogen door in te loggen met diezelfde pinpas als authenticatie" iets anders kunt concluderen dan "dit is SLECHT".
Of dat nou stiekum gebeurt of niet dat interesseert me niet, dit is gewoon een keiharde blunder. Geef maar toe en kaart
intern aan dat dit anders moet.
11-02-2015, 12:54 door Dick99999 - Bijgewerkt: 11-02-2015, 12:59
Door Vandaag, 10:25 door Anoniem : Er wordt in dit topic heel hard geroepen dat bank A beter is dan B, en dat Kassa zus en zo roept, maar waar zijn de feiten? De banken concurreren onderling NIET op veiligheid, ze zijn allemaal even veilig (in theorie!).
[.................]
Volgens dit topic doet de bank waar ik zelf voor werk, het nogal slecht. Uit eigen ervaring en informatie van collega's bij de andere banken, weet ik dat we stiekum beter doen dan de anderen.... Een leuke discussie, maar zonder feiten gaat het alleen maar om onderbuikgevoelens.
[...............]
Eindelijk, en zeer te waarderen, iemand die vanuit een bank durft te spreken.
Het gaat in deze discussie over 2 zaken:

1. Bijdragen die een deelaspect oppakken en denken de veiligheid van bank A en B in z'n geheel te kunnen vergelijken, op basis van een deelaspect en zonder risico's in kaart te brengen. Ik kwalificeer dit deel zelfs niet als 'leuke discussie'

2. Bijdragen over een door Kassa geïdentificeerd risico. En je kan dat risico en feit van afkijken, beroven, overschrijven niet afdoen met een 'leuke discussie' en 'ze zijn allemaal even veilig'.

Van dat feit had de fase overschrijven misschien als ongebruikelijk gedetecteerd kunnen worden. Maar als de Rabo het verhogen van een limiet van een rekening die op Internet jaren niet (of nooit) actief was, niet detecteert of niet in het weekend detecteert, dan kan ik als consument geen enkel vertrouwen hebben in het detectie stuk.
Dus terug bij af: Kassa heeft een risico gevonden dat bij Rabo en ABN niet wordt afgedekt. En hoe wordt dat opgelost?

PS. de discussie afleiden naar zoiets als 'per type fraude de totaalschade te publiceren' lukt bij Kassa niet en lijkt mij geen goed idee.
11-02-2015, 16:43 door Anoniem
Het lijkt mij logisch dat banken allerlei aspecten van het internetbankieren tegen elkaar afwegen. Keiharde veiligheid is één, gebruikersvriendelijkheid is een ander, risico voor de bank is nog weer een ander. Het invoeren van een nieuwe procedure is in ieder geval zéér gebruikersonvriendelijk, en naar ik vermoed kost het de bank ook (veel) geld, dus een bank zal dat niet snel doen.

De Rabobank is al lang op de hoogte van de zwakheid: "pinpas gerold, code afgekeken". Ik weet dat omdat ik dit probleem twee jaar geleden bij hen aangekaart heb. Ik ben daarna door een Rabobankmedewerkster opgebeld die impliciet erkende dat de bank op de hoogte was van die zwakheid. Zij zei, vermoedelijk om mij tevreden te stellen, dat "de Rabobank binnen afzienbare tijd de procedure zal verbeteren". Zoals Kassa aangetoond heeft is dat niet gebeurd. Mij dunkt dat na een zorgvuldige afweging van voor en tegens de bank er vanaf gezien heeft. Ik zou in ieder geval niet aan stommiteit of kwaadwilligheid denken.
11-02-2015, 17:19 door Anoniem
Of het bij de RABO bank ook kan weet ik niet, maar bij ABNAMRO is er een simpele oplossing voor dit probleem; vraag een tweede pas aan waarmee je wel kan pinnen maar niet internet bankieren. De eerste pas gebruik je dagelijks, de andere laat je thuis. Zelfs als die tweede pas ook wordt gestolen kunnen de dieven nog steeds niet internetbankieren met de middels "schouderkijken" verkregen code. De dieven kunnen natuurlijk nog wel steeds pinnen met de eerste pas, maar daar gaat het hier niet over.
11-02-2015, 18:46 door Dick99999 - Bijgewerkt: 11-02-2015, 18:56
Door Anoniem: Het lijkt mij logisch dat banken allerlei aspecten van het internetbankieren tegen elkaar afwegen. Keiharde veiligheid is één, gebruikersvriendelijkheid is een ander, risico voor de bank is nog weer een ander. Het invoeren van een nieuwe procedure is in ieder geval zéér gebruikersonvriendelijk, en naar ik vermoed kost het de bank ook (veel) geld, dus een bank zal dat niet snel doen.

De Rabobank is al lang op de hoogte van de zwakheid: "pinpas gerold, code afgekeken". Ik weet dat omdat ik dit probleem twee jaar geleden bij hen aangekaart heb. Ik ben daarna door een Rabobankmedewerkster opgebeld die impliciet erkende dat de bank op de hoogte was van die zwakheid. Zij zei, vermoedelijk om mij tevreden te stellen, dat "de Rabobank binnen afzienbare tijd de procedure zal verbeteren". Zoals Kassa aangetoond heeft is dat niet gebeurd. Mij dunkt dat na een zorgvuldige afweging van voor en tegens de bank er vanaf gezien heeft. Ik zou in ieder geval niet aan stommiteit of kwaadwilligheid denken.

Rabo dus al 2 jaar op de hoogte? Wel de ABN is al sinds 19 nov 2013 op de hoogte en waarschijnlijk al veel eerder. Zie Opgelicht 'pinpas wisseltruc' http://www.opgelicht.nl/uitzending/2013/857/.

In dat geval gaat het om €54.000 ! Geen enkel alarm bij de bank in 6 dagen tijd..

Geen stommiteit? Inderdaad, het is namelijk onwil en niet in het belang van de klant willen denken. En ook niet willen bekennen dat dit onderdeel niet veilig is. Want dan moeten ze alle voorgaande gevallen vergoeden. En dat zijn er nogal wat, het komt regelmatig voor volgens de politie (uit opgelicht).

En Gijs Boudewijn moet namens de banken gaan uitleggen bij de consumeneten programma's dat het toch niet geheel veilig was, met evenveel vertrouwen als hij nu altijd zegt dat alles veilig is. En dan te weten dat een simpel wachtwoord, of nog beter een wachtzin, al die ellende kan voorkomen!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.