Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Slecht doordachte resetprocedures ING internetbankieren?
29-11-2021, 20:09 door Anoniem, 7 reacties
Hallo Allen,
Vanmiddag zat ik te kijken welke gegevens ik nu nodig heb om weer toegang te krijgen tot ING internetbankieren, mocht ik mijn wachtwoord kwijtraken off telefoon met app verliezen. Tot mijn verbazing ontdekte ik dat beiden gereset kunnen worden met een SMS code. Het wachtwoord moet dan wel als eerste worden gerest. Je geeft dan aan dat je geen werkende app hebt en krijgt de dan de mogelijkheid om het wachtwoord met een SMS code te resetten. Velvolgens kun je ook de app op een nieuwe telefoon installeren met het nieuwe wachtwoord en eveneens de SMS code. ING vraagt wel enkele aanvullende gegevens:
- Gebruikersnaam
- Geboortedatum
- Rekeningnummer
- Pasnummer
Het merkwaardige is dat de gebruikersnaam niet online gerest kan worden. Die stuurt ING per post als je hem kwijt bent. Daarmee is je gebruikersnaam dus in feite je wachtwoord bij ING, omdat deze een stuk lastiger te resetten is. Een kwestie van een lange en moeilijke gebruikersnaam kiezen dus? Het lastige in deze is dat je wachtwoord echt geheim is, ook voor medewerkers van ING. In hoeverre is je gebruikersnaam geheim? Ben je als klant de enige die de gebruikersnaam kent?
Ik ben benieuwd hoe jullie hier naar kijken.
Vanmiddag zat ik te kijken welke gegevens ik nu nodig heb om weer toegang te krijgen tot ING internetbankieren, mocht ik mijn wachtwoord kwijtraken off telefoon met app verliezen. Tot mijn verbazing ontdekte ik dat beiden gereset kunnen worden met een SMS code. Het wachtwoord moet dan wel als eerste worden gerest. Je geeft dan aan dat je geen werkende app hebt en krijgt de dan de mogelijkheid om het wachtwoord met een SMS code te resetten. Velvolgens kun je ook de app op een nieuwe telefoon installeren met het nieuwe wachtwoord en eveneens de SMS code. ING vraagt wel enkele aanvullende gegevens:
- Gebruikersnaam
- Geboortedatum
- Rekeningnummer
- Pasnummer
Het merkwaardige is dat de gebruikersnaam niet online gerest kan worden. Die stuurt ING per post als je hem kwijt bent. Daarmee is je gebruikersnaam dus in feite je wachtwoord bij ING, omdat deze een stuk lastiger te resetten is. Een kwestie van een lange en moeilijke gebruikersnaam kiezen dus? Het lastige in deze is dat je wachtwoord echt geheim is, ook voor medewerkers van ING. In hoeverre is je gebruikersnaam geheim? Ben je als klant de enige die de gebruikersnaam kent?
Ik ben benieuwd hoe jullie hier naar kijken.
Reacties (7)
29-11-2021, 23:43 door
Erik van Straten
@TS: geen verwijt of kritiek hoor, maar dit is eerder besproken in https://www.security.nl/posting/713739/Resetten+wachtwoord+DigiD#posting713977 (in dezelfde draad kun je lezen dat voor DigiD iets vergelijkbaars geldt).
Ook worden gegevens ingevuld in andere dan wachtwoord-velden meestal gelogd door eventueel "meekijkende" analytische sites.
Daarnaast kunnen schoudersurfers zien wat jij hebt ingevoerd als dat niet door sterretjes is vervangen (maar sowieso zouden zij kunnen zien welke toetsen jij indrukt).
Door Anoniem: In hoeverre is je gebruikersnaam geheim? Ben je als klant de enige die de gebruikersnaam kent?
Nee. Waarschijnlijk staat deze plain text in de gebruikersdatabase van ING (in plaats daarvan is een hash mogelijk, ook met systeembrede salt, maar niet een unieke salt per user - want dan heb je een kip-ei probleem). En hoogstwaarschijnlijk wordt deze gelogd door ING.Ook worden gegevens ingevuld in andere dan wachtwoord-velden meestal gelogd door eventueel "meekijkende" analytische sites.
Daarnaast kunnen schoudersurfers zien wat jij hebt ingevoerd als dat niet door sterretjes is vervangen (maar sowieso zouden zij kunnen zien welke toetsen jij indrukt).
Door Anoniem: Wie doet nog VoornaamAchternaam als username ?
Zowat iedereen boven de 50.
Ik heb hen hier ook wel eens op aangesproken en het antwoord was toen "ja maar meneer u moet uw gebruikersnaam
geheim houden!". Dat vond ik wat vreemd want dit staat niet in de normale aanwijzingen (je mag je pincode, wachtwoord
en andere veiligheidscodes niet met anderen delen, maar je gebruikersnaam staat daar niet bij). Sterker nog, bij
inlog kun je er voor kiezen je gebruikersnaam te "onthouden" (in een cookie neem ik aan) zodat deze meteen ingevuld
wordt als je het inlogscherm opent. Waar die gebruikersnaam ook zichtbaar getoond wordt trouwens, i.t.t. het wachtwoord.
Dus dat hele "je gebruikersnaam moet je geheim houden" is een beetje slecht onderbouwd. Maar voor de veiligheid
van je account is het eigenlijk wel nodig ja.
geheim houden!". Dat vond ik wat vreemd want dit staat niet in de normale aanwijzingen (je mag je pincode, wachtwoord
en andere veiligheidscodes niet met anderen delen, maar je gebruikersnaam staat daar niet bij). Sterker nog, bij
inlog kun je er voor kiezen je gebruikersnaam te "onthouden" (in een cookie neem ik aan) zodat deze meteen ingevuld
wordt als je het inlogscherm opent. Waar die gebruikersnaam ook zichtbaar getoond wordt trouwens, i.t.t. het wachtwoord.
Dus dat hele "je gebruikersnaam moet je geheim houden" is een beetje slecht onderbouwd. Maar voor de veiligheid
van je account is het eigenlijk wel nodig ja.
Door Anoniem:
Zowat iedereen boven de 50.
Door Anoniem: Wie doet nog VoornaamAchternaam als username ?
Zowat iedereen boven de 50.
Oeps. Dan doe ik het al jaren fout. Snel alles naar VoornaamAchternaam wijzigen.
Ik begrijp dat bij Digid naast SMS ook de opgegeven e-mail adres nodig is om het wachtwoord te resetten. Was dit bij ING maar zo. Bij ING hangt de gehele beveiliging vast aan de SMS code.
ING geeft op hun site wel aan dat bij een simwissel de codes voor 12 uur worden geblokkeerd. Dit is veel te weinig. Denk aan de nachtelijke uren wanneer iemand ligt te slapen, dan is een groot deel van de 12 uur al verstreken.
Wat ook onbegrijpelijk is, is dat het wachtwoord en app tegelijkertijd kunnen worden gereset met een SMS code. Hoe vaak komt het nu voor dat iemand en zijn wachtwoord en zijn telefoon kwijt is? Waarom niet het resetten van het wachtwoord alleen mogelijk maken als je toegang tot een werkende app hebt? Als je en je telefoon kwijt bent en je wachtwoord bent vergeten, dan gewoon een tijdelijke wachtwoord per post sturen. Veiligheid gaat voorop.
ING geeft op hun site wel aan dat bij een simwissel de codes voor 12 uur worden geblokkeerd. Dit is veel te weinig. Denk aan de nachtelijke uren wanneer iemand ligt te slapen, dan is een groot deel van de 12 uur al verstreken.
Wat ook onbegrijpelijk is, is dat het wachtwoord en app tegelijkertijd kunnen worden gereset met een SMS code. Hoe vaak komt het nu voor dat iemand en zijn wachtwoord en zijn telefoon kwijt is? Waarom niet het resetten van het wachtwoord alleen mogelijk maken als je toegang tot een werkende app hebt? Als je en je telefoon kwijt bent en je wachtwoord bent vergeten, dan gewoon een tijdelijke wachtwoord per post sturen. Veiligheid gaat voorop.
Door Anoniem:
Oeps. Dan doe ik het al jaren fout. Snel alles naar VoornaamAchternaam wijzigen.
Door Anoniem:
Zowat iedereen boven de 50.
Door Anoniem: Wie doet nog VoornaamAchternaam als username ?
Zowat iedereen boven de 50.
Oeps. Dan doe ik het al jaren fout. Snel alles naar VoornaamAchternaam wijzigen.
O jee, de cornerstone case persoon op een forum specifiek over gerelateerde topics doet iets niet wat 99.9% van de genoemde doelgroep wel doet.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!