Gepubliceerd: Woensdag 4 maart 2009
400.000 ING-klanten moeten hun calculator inleveren en overstappen naar het TAN-codesysteem van fusiegenoot Postbank.
Toon volledig artikel
Vorig jaar kwam anders die SMS dienst, negatief in beeld. De papieren lijst is volgens mij relatief veiliger. Zolang je de codes niet aan iemand anders geeft.
Een SMS was te onderscheppen. Voor de papieren lijst moeten ze fysiek contact maken als je veilig met je lijst omgaat.
Eénieder die maar een klein beetje verstand heeft over beveiligingen op het internet weet dat de keuze van ING de meest slechte keuze is geweest. ING heeft niet voor veiligheid gekozen maar voor besparing. Het genereren en versturen van een TAN-lijst naar 400.000 klanten is een schijntje vergeleken met 3,6 miljoen klanten van een stukje elektronica te voorzien.
Rare keuze van ING, terwijl concurrenten afstappen van de geplaagde TAN-lijsten, gaat ING hierin verder investeren. Het is maar te hopen dat de klanten mondig genoeg zijn wanneer het fout gaat met TAN-lijst. En als ING toch vast wil houden aan de TAN-codes, doe dit dan alleen via de GSM.
Tsja, ik gebruik mijn mobieltje zelden (ooit voor noodgevallen gekocht, maar zelden gebruikt) en geef de voorkeur aan een papieren Tan code.
Voor iemand die leeft met zijn mobieltje kan ik je redenatie volgen, maar iemand die eigenlijk dat hele mobiele gedoe wil vermijden is het een ramp. Aangezien ik verhalen over mobieltjes die sneller van gebruiker wisselt lijkt het mij ook omslachtig om elke keer je telefoonnummer te moeten veranderen.
Ik berg de tan lijst op op een veilige plek weg van de computer, en bankier alleen vanuit huis. Veiliger kan volgens mij niet.
Ik denk dat je eerder een uitzondering bent dan de regel met jouw gebruik van een mobiele telefoon. Het is dan ook goed te begrijpen dat ING kiest voor een medium dat door de meeste mensen gebruikt wordt. Je kan tenslotte ook niet verwachten dat 3M nog 5,25 inch floppies produceert omdat er nog een enkeling geen CD-ROM speler in zijn PC heeft....
Tsja, mijn eerste reactie was een feit, het tweede mijn persoonlijke mening, dat ik een van de weinige ben weet ik. Ik wordt er dagelijks mee geconfronteerd op mijn werk. Niemand die het begrijpt, maar tegelijk hoor ik diezelfde mensen ook klagen dat ze maar steeds gebeld worden en geen rust meer hebben.
Ik kan me daardoor juist gewoon op mijn werk richten.
Ik ben waarschijnlijk ook nog een van de weinige met een vaste telefoonverbinding en slechts 2 versleten mobieltjes in de afgelopen 12 jaar. Maar veiliger dan hoe ik met mijn TAN-codes om ga is in mijn ogen niet mogelijk. Ook met die TAN-codes heb je namelijk nog niet gelijk toegang tot het overschrijf scherm.
Nee, maar klanten nagenoeg opdringen nog meer persoonlijke gegevens en apparatuur aan de ING te koppelen is wel even wat anders dan het gebruik van onafhankelijke media. Ik denk graag nog even wat verder: hoe erg zou je een bank die persoonlijke gegevens extra toevertrouwen als die bank nog in de gedachten leeft dat slechts een gebruikersnaam/wachtwoord prima beveiliging van accounts is.
Ik respecteer jouw keus, maar vanuit het oogpunt van veiligheid zijn de TAN-lijsten super gevaarlijk. Als het fout gaat (in een onverwacht moment maakt iemand een foto van jouw TAN-lijst en gaat foute zaken mee doen) met de TAN-lijst, ligt bewijsvoering vaak bij de gebruiker. Is niet erg, als je maar bewust bent van zaken die fout kunnen gaan en de gevolgen hiervan. Banken verwijzen dan naar de letters die je met een vergrootglas had kunnen lezen.
De kans dat iemand a) jouw TAN lijst steelt / kopieert en b) jouw inlognaam én wachtwoord achterhaalt, is die kans niet gewoon net zo groot als de kans dat iemand a) jouw bankpas steelt of kopieert en b) jouw pincode achterhaalt? Waar je pincode maar 4 cijfers is en je inlognaam en wachtwoord een veelfout daarvan? Kortom, mensen die kwaad willen, krijgen dat altijd voorelkaar, toch? Kijk maar naar Tros Opgelicht.
Je moet de originele pas hebben want in tegenstelling tot pinautomaten maakt de cardreader gebruik van de chip op de bankpas en niet van de magneetstrip. Dus skimmen is niet mogelijk.
En naast dat je de pas moet hebben, moet je dus ook de pincode weten. Je hebt maar drie pogingen om te gokken voordat de pas blokkeert. Dus je hebt ongeveer 0,03% kans om het goed te raden.
De kans dat iemand a) jouw TAN lijst steelt / kopieert en b) jouw inlognaam én wachtwoord achterhaalt, is die kans niet gewoon net zo groot als de kans dat iemand a) jouw bankpas steelt of kopieert en b) jouw pincode achterhaalt?
In ieder geval is die kans even groot als dat iemand je login en password achterhaalt en je mobieltje steelt. Ik gebruik de TAN-lijst tot volle tevredenheid, en het lijkt me een bijzonder veilige manier. Zelfs met een man-in-the-middle attack. Je voert een TAN namelijk in om een aantal betalingen te autoriseren die je zelf eerst ingevoerd hebt, en zelfs al zou de hele wereld onderweg kunnen meekijken en zien dat de TAN bij wijze van spreken 123456 is, dan hebben ze er nog niets aan, want die TAN had een eenmalige geldigheid om juist die reeds doorgegeven transacties te autoriseren.
Je redenering gaat op diverse plaatsen mank. Maar je hebt wel gelijk dat je, wanneer je alleen voor de bank een mobieltje moet gaan handhaven, dat een behoorlijk dure en lastige zaak is. Ik zou alleen m'n tan lijst dus NIET bij de pc bewaren, ik vermoed dat je ook je brief met je inlog-naam daar in de buurt hebt, dus de boel overnemen wordt dan voor een inbreker wel erg makkelijk!
Ik wil eigenlijk gewoon de calculator houden en niet ook nog eens een GSM toestel moeten aanschaffen. Misschien werken er bij de solide bank (volgens Wouter Bos) toch niet zulke "solide" geesten, gezien de keuze voor zo'n achterhaald systeem.
Jawel, voor op vakantie of wanneer ik langer de deur uit ga. Ik heb mijn werkplek aan huis, dus dan volstaat de vaste telefoon.
En wat met de mensen die voor hun werk langere tijd (enkele jaren) in het buitenland moeten werken. Dan is de tan-code machine toch best wel handig. Een papieren lijst toegestuurd krijgen kan in sommige landen best wel eens lang op zich laten wachten en een sms'je toegestuurd krijgen is in sommige landen een meer dan dure grap. Waarom niet gewoon en/en/en. Mensen zelf laten beslissen of ze gebruik willen maken van de papieren lijst, een sms mogelijkheid of de calculator.
Ontwikkelkosten zijn er toch verder niet!!! De wereld houdt echt niet op bij de Nederlandse grens
De Nederlander die (soms) noodgedwongen langere tijd buiten zijn/haar vaderland moet werken, wordt toch al vaak een oor aangenaaid. 0900 nummer die niet gebeld kunnen worden en een voor belastingaangiftes doorgevoerde DIGID, die alleen maar aangevraagd kan worden als je een Nederlands woonadres hebt, zijn daar simpele voorbeelden van.
Stap over naar een andere bank, heb ik ook gedaan. Deels voor de calculator, deel wegens de klantonvriendelijkheid van de ING. Was wel al hééél lang klant van de Postbank.
Da's ook niet uitgesloten met die toenemde klantonvriendelijkheid.
Vele jaren geleden was dat wel anders. Kon je zo naar de balie en wisten ze wie je was en hoofde je je niet te identificeren als je bijv. geld kwam opnemen. Vooral de laatste tien jaar is dat in toenemde mate omgedraaid.
Maar ja, welke bank dan?? Wellicht ergens 1 rekening voor de lopende geldzaken en de overig spaarvormen e.d. omzetten in goud en/of extra houtvoorraad voor mijn werk
Ik was altijd klant bij de Rabo. Vervolgens besloot ik te gaan shoppen en heb toen ABN en ING geprobeerd eind vorige eeuw (wel mijn rekening aangehouden bij de Rabo). Zowel ING als ABN bevielen niet en dan met name door hun houding met telebankieren, en ik ben bij de Rabo gebleven/teruggekeerd als tevreden klant.
Tsja dat vind jij, toevallig heb ik geen mobiele telefoon en niemand in huis heeft zo'n ding, dus gebruiken wij de papieren tan lijsten, want ik verdom het om een mobiel aan te schaffen omdat de Postbank dat graag zou willen, vindt het prima als zij mijn mobiel betalen en uiteraard ook een abonnement erbij voor SMS. Zoniet, dan gewoon lekker op de papieren TAN lijst blijven, anders zijn ze 6 klanten kwijt.
Ik ben blij dat ik vorig jaar overgestapt naar de Rabobank. In hemelsnaam, codes op papier, totaal niet meer van deze tijd, terug naar af. Wie verzint dat.
Klopt, de TAN code systeem is zo achterhaald, in mijn ogen niet secure. Het schrijven van een applicatie om de codes te onderscheppen gaat zoveel makelijker bij het systeem van de Postbank dan bijv met het systeem van de Rabobank.
De randomreader genereert codes op basis van het te overboeken geldbedrag. Als op de achtergrond een ander bedrag wordt overgeboekt, dan zal dat met de Rabo randomreader gewoon niet lukken. Een TAN code systeem daarentegen is niet meer dan een versimpelde digitale handtekening om een overschrijving te rechtvaardigen.
Ik heb ooit eens zo'n calculatortje van ABN-AMRO gehad. Toen dat ding defect raakte kon ik een behoorlijk lange tijd geen gebruik maken van Internet bankieren. Dan vind ik een stuk papier toch een stuk makkelijker. Daar kan weinig aan kapot gaan.
De mijne van de Rabo had zijn batterij leeg, ik loop het plaatselijke kantoor binnen en krijg meteen een nieuwe mee. Zonder kosten of zo.
Zegt wel iets over ABN-Amro denk ik ;)
Internet bankieren is voor mij een prive aangelegenheid en doe dat alleen thuis.
Mag ik vragen waarom je dat op het werk gebruikt?
Die ligt ook meestal slechts in de la stof te happen. Is daar gekomen toen ik mijn voormalige provider rekeningen produceerde over een periode voordat ik bij hen een account had en daar onaangekondigde afsluitingen van mijn internet als dwangmiddel bij deed.
Ik wilde zelf de batterij vervangen, is de chip beveiligd, na het losmaken wordt de chip automatisch gewist.
Wat betreft het verkrijgen van een nieuwe random reader, ik heb dezelfde ervaring die jij hebt.
Niet de chip, wel de klok die erin zit. Na vervangen van de batterij ziet hij de klok op 1 januari 1970 staan en gaat hij niet meer werken. Bij de fabriek wordt hij eerst aan de stroom gehangen en daarna geprogrammeerd. Stroom eraf, stroom erop is dan dodelijk. En nee, hoe je dat ding programmeert, vertellen ze natuurlijk niet...
Er zit ook een verschil tussen de calculators van ABN Amro en Rabobank. Die van de Rabobank zijn allemaal hetzelfde dus uitwisselbaar. Die worden pas uniek in combinatie met je bankpas.
Die van de ABN-AMRO is persoonlijk; even die van iemand anders lenen is er dus niet bij.
Logisch gevolg is dat de Rabobank je snel een nieuwe kan geven, terwijl de ABM Amro er eentje voor je moet personaliseren.
Gr, jas.
De mijne van de Rabo had zijn batterij leeg, ik loop het plaatselijke kantoor binnen en krijg meteen een nieuwe mee.
Ook fijn voor een ieder die niet in NL woont.
Niet zo lokaal denken beste mensen.
Als je klant wil worden bij een Nederlandse bank, en in het buitenland woont, mag je daar zelf de consequenties van dragen. Maar je kunt dan natuurlijk nog steeds gewoon een jaar later om een extra calculator vragen, dan zijn ze nooit tegelijk leeg.
Overigens, postbank met TAN-smsjes is ook niet handig als je in het buitenland zit. Niet overal komen die smsjes namelijk aan. Als je al verbinding met een GSM-netwerk kunt maken. Niet zo klein denken he, de wereld is groter dan Europa ;-)
(Oh, en papieren TAN-codes lijkt me helemaal een utopie, want als je dan in Amerika woont, weet je zeker dat de 3-letterige geheime diensten al je codes onderscheppen)
Soms kan het niet anders. Je werkt voor een Nederlandse organisatie en je krijgt je salaris in Nederlandse munten uitbetaald. De betreffende organisatie wil je salaris niet uitbetalen op een buitenlandse bankrekening, wat op zich natuurlijk niet raar is, want daar zijn kosten aan verbonden (vooral als je duizenden mensen in het buitenland hebt werken).
Waarom dan geen rekening houden met de Nederlander in den vreemde?
Daarom doen die nepsites ook een scherm tonen waarin je gevraagd wordt een stuk of wat TANcodes in te tikken. Waarschijnlijk in de hoop dat er één het doet.
Zo'n 'man in the middle' attack doet het bij zowel TAN als de reader even goed of slecht. Als er al wat onderschept kan worden dan maakt het ook niet uit of het een gegenereerde code of een TANcode is.
De inlogbeveiliging bij Postbank/ING (vast password) is niet slechter dan een gegenereerd wachtwoord, tenzij je wachtwoord een keer achterhaald is dmv een keylogger. Op dat punt loopt de ING dan wat achter. Aangezien die kans vrij klein is ga ik gewoon voor het gemak van de TAN per SMS.
Een man in the middle attack werkt bij de Rabobank eigenlijk niet, maar kan bij de ABN Amro wel makkelijk werken (en heeft daar gewerkt). het verschil zit hem in de calculators. Bij de ABN gebruik je hetzelfde knopje/functie voor inloggen en betaling authoriseren. Bij de Rabo zijn dat 2 verschillende knoppen.
Bij de ABN kun je gewoon een scherm U bent uitgelogt producren, en terwijl jij denkt weer in te loggen wordt er onder water een betaling geauthoriseerd.
Bij de Rabobank krijg je te maken met de aparte autorisatie code, die bij de wat hogere bedragen een 2de en soms zelfs 3de code bevat waaronder het totaal bedrag en/of een bankrekeningnummer van de overboeking. Aangezien dat totaalbedrag/rekeningnummer een onderdeel is van de calculatie is daar bijna niet mee te rommelen.
Bij Tan-codes moet het wel werken en helemaal als je enkele codes moet ingeven. Alle ingegeven codes zijn dan bruikbaar. De andere gegevens van de gebruiker zijn dan al bekend en de gebruiker heeft de gebruikte codes van zijn/haar lijst gestreept. Dus man in the middle werkt dan, volgens mij, wel degelijk.
De randomreader genereert codes op basis van het te overboeken geldbedrag. Als op de achtergrond een ander bedrag wordt overgeboekt, dan zal dat met de Rabo randomreader gewoon niet lukken. Een TAN code systeem daarentegen is niet meer dan een versimpelde digitale handtekening om een overschrijving te rechtvaardigen.
Maar al maak ik het helemaal gemakkelijk en kopieer ik mijn tanlijst en zet deze op Internet. Dan nog heb je mijn inlognaam en wachtwoord nodig om er ook maar iets mee te kunnen doen. Zolang je wachtwoord niet de naam van je hond is (oftewel: redelijk complex) en alleen maar in je hoofd zit, wat is dan het probleem als de tan-code al wat minder veilig zou zijn?? Ik vind het veel drukte om niks.
Die calculator werkt uitstekend. Veilig bij het inloggen en nog eens als je de lijst met betalingen verzend.
Bij de keuze staat volgens mij niet de veiligheid voorop maar de kosten die anders gemaakt zouden moeten worden voor de 3,6 miljoen calculators. Niet dat ING de kosten voor haar rekening zou nemen, want dat betaal je als klant natuurlijk zelf.
Zouden ze voor de calculator hebben gekozen dan was natuurlijk de kans heel groot dat er veel protesten zouden komen van die 3.6 miljoen die dan ineens de kosten zien stijgen.
Dat wordt dus "helaas, pindakaas" voor de 400.000 ouwe ING klanten.
SMSen is trouwens ook niet echt mijn hobby
Helemaal mee eens, veiligheid vindt de ING niet het aller belangrijkste. Als de calculator 2 euro per stuk kost, heeft de directeur zijn bonus voor 2009 al binnen, 7,2 miljoen euro. Niet slecht gedaan.
Zouden ze voor de calculator hebben gekozen dan was natuurlijk de kans heel groot dat er veel protesten zouden komen van die 3.6 miljoen die dan ineens de kosten zien stijgen.
Dat wordt dus "helaas, pindakaas" voor de 400.000 ouwe ING klanten.
Een gemiste kans van ING.
Hoeveel storingen heeft de postbank tot nu toe gehad met hun systeem, kan mij herinneren dat webwereld er wel eens vol mee heeft gestaan.
Als je kunt aantonen als ING dat jouw systeem beter en veiliger is dat dan de klanten daar weinig moeite mee hebben, ook na alle ellende wat ze hebben meegemaakt met het huidige tan systeem.
Voor de zakelijke markt blijft gewoon de calculator in takt bij ING, alleen de particulieren gaan over. Vergeet niet wat een sjieke uitstraling ING altijd ten toon spreide in zijn bankkantoren en hoe daar nu het Postbankvol ingepast moet worden. Ik denk dat de zakelijke klanten hier ook zo hun mening over hebben en dat ze die twee groepen bewust scheiden.
Ik ben blij dat ik niet zo'n achterlijk ING pinapparaatje krijg voor de transacties. Inloggen met mijn gegevens op de site in combi met mijn tancode per sms is voor mij veel gemakkelijker. Zie al dat ik steeds zo'n apparaatje mee moet zeulen.
Maar je loopt toch niet de hele dag betalingen te doen. Die calculator laat je gewoon thuis liggen en de betalingen doe je per aantal tegelijk lijkt me. Ik zeul ook niet de hele tijd het mobieltje mee.
Over ouderwets gesproken. Heb je de vrijheid van internetbankieren , wordt je geografisch beperkt door de aanwezigheid van reader/bankpas en mobieltje.
Het mooie van die ouderwetse tancode lijst is dat als je die veilig kan benaderen je altijd en overal kan banieren. De telebankieren thuis doe maar thuis mentaliteit doet me denken aan de ouderwetse offline versie (de versie tussen de viditel interface en de eerste internet versie).
dat gedoe met die minnetjes hier begint mij vreselijk de keel uit te hangen!! dit was dan ook voorlopig mijn laatste posting
Een reden om definitief ING de rug toe te keren. Ik begrijp hier helemaal niets van. De calculator vond ik eigenlijk altijd een pre ten opzichte van het krakkemikkige TAN systeem van de Postbank.
Dan maar naar de meest degelijke bank van Nederland: good, old Boerenleenbank (euh excuus: Rabo!) here I come!
Niet helemaal waar, laat je SIM-kaart blokkeren en vraag een nieuwe SIM-kaart aan. Bij een goede GSM-aanbieder is dit binnen 24-48 uur geregeld. Is met mij gebeurd. Tijdens de vakantie is mijn GSM stolen, in het vakantieland een goedkoop, SIM-lockvrij toestel gekocht en drie dagen later had ik een nieuwe SIM-kaart per post ontvangen en alles gaat als vanouds.
Gaat je random-reader stuk, kun je niet meer internetbankieren. Breekt je pinpas, kun je niet meer internetbankieren. Ontploft je computer, kun je niet meer internetbankieren. Vergeet je je pincode, kun je niet meer internetbankieren. Valt je ADSL uit, kun je niet meer internetbankieren. Moet ik nog doorgaan? ;-)
Ik vind het erg jammer dat iedereen zo negatief is over het systeem van de Postbank. Het is erg makkelijk en op zich ook erg veilig. Alleen mensen die op sites 10 TAN-codes gaan invullen, tja. Wat dacht je anders van het achterhalen van PayPal account-gegevens? Daar heb je een automatische incasso of credit-card aan gekoppeld. Dus je hebt alleen iemands Paypal username en password nodig om 'onbeperkt' je gang te kunnen gaan. Dan heeft de Postbank gelukkig nog een TAN-code 'bedacht'. Maar over Paypal hoor ik nooit iemand klagen. Maar als het over TAN-codes gaat, staat het anti-Tan-code-leger hier altijd weer klaar. Het lijkt wel alsof het over Microsoft gaat :-)
Afgezien dat paypal geen dagelijks betaalverkeer is en ik je verder gelijk geef dat ook daar de toegang tot het account nog belabberd is. (nog, want paypal is wel aan het omschakelen.)
Het doet er naar mijn mening niet toe wie er nog meer niet goed of zelfs slechter bezig zou zijn! Van een Nederlandse bank zou je mogen verwachten dat ze een goede beveiliging op de toegang tot een account hanteren. Kan me niet schelen of daarachter voor andere functies nog andere beveiliging zit. Gemakkelijke toegang tot een account is al een zware beveiligingsbreuk en nagenoeg niets is slapper dan een vaste gebruikersnaam en wachtwoord. De ING heeft een keuze gemaakt: de klant moet het risico maar accepteren dat ING liever meer winst pakt dan meer moeite doet om accounts niet achterhaald te beveiligen.
Tja zo vallen er wel tig negatieve dingen te bedenken. Ik weet er ook nog eentje: Gaaf de batterij van je pinapparaatje is leeg. Kun je niet meer internetbankieren. Bij tan via mobiel duw je dan je simkaart even in een ander mobieltje.
Ik heb al een hekel aan mijn enige mobieltje, zeg je nu dat ik er 2 moet nemen?
TAN-codes via SMS zijn niet automatisch veiliger dan een papieren lijst, maar wel makkelijker (volgens velen hier en de postbank) als je ook buitenshuis bankiert via het internet.
Een SMS dienst heeft echter totaal geen toegevoegde waarde als je alleen thuis via het internet bankiert. Daarnaast zal de som van 100 SMS-sjes duurder zijn dan een enkele keer een lijst met TAN-codes te sturen via de post (hooguit 80 eurocent). (Een papieren lijst bevat 100 TAN-codes) De volgende logische stap lijkt me dan ook dat men geld gaat vragen voor die SMS-sjes.
Ik begrijp niet wat er tegen het TAN systeem per sms is. Dit is een zeer veilig systeem, door de combinatie van authenticatiemanieren (login+wachtwoord EN een one time token systeem dat gebonden is aan iets wat alleen jij hebt) heel erg moeilijk te hacken, en het is superpraktisch. Er is niks krakkemikkigs aan, en het is veel handiger dan altijd en overal zo'n calculator mee te moeten nemen (die je kan verliezen!). Het is klinklare nonsens om hiervoor ING de rug toe te keren. Maar ja, veel mensen lopen gewoon constant te zoeken naar stokken om mee te slaan, niet gehinderd door kennis.
Het probleem is ook niet zo zeer de TAN-code per SMS, dit is behoor veilig en ook handig, het gaat om de super onveilige TAN-codelijsten op papier. Dat is gewoon super onveilig, misschien mag je het zelfs achterlijk noemen als beveiliging.
het gaat om de super onveilige TAN-codelijsten op papier.
Die krijg je gewoon opgestuurd over de post, net als je credit card, de code om je credit card te activeren, de inlogcodes voor je internetbankieren, en nog veel meer gegevens waar criminelen van zouden smullen. Maar zelfs met die TAN-lijst kun je nog niets. Ten eerste moet je ook mijn login en password hebben, en ten tweede merk ik bij de eerste de beste betaling dat er een TAN-lijst achterover gedrukt is.
Er is bijna niets op tegen. Maar hoe maken wij geld over als klein bedrijf als dat per sms gaat? Moeten we nu een extra telefoon naast de pc neerleggen in plaats van een papieren lijst die wij eerst scannen en veilig opslaan (op zo'n wijze dat de mensen met toegang er altijd bijkunnen) en dan vernietigen? Ik wil graag van de papieren lijst af, maar zolang er één sms naar één telefoon gaat betekent dat voor ons dat Internetbankieren niet meer altijd en overal is.
Ik maak gebruik van beide systemen, Rabo en Postbank/ING. Mijn persoonlijke voorkeur gaat toch echt uit naar het Postbank-systeem met de TAN-codes via sms. Dat Rabo-apparaatje heb ik niet standaard bij me en mijn foon wel. Wil ik alleen even weten wat mijn saldo is, hoef ik bij Postbank/ING alleen in te loggen en te kijken, niks extra's voor nodig. Wil ik weten wat mijn Rabosaldo is, moet ik eerst dat apparaatje weer gaan zoeken, of van iemand zo'n ding lenen. Site openen, al die codes weer gaan intikken. Nee, dat is handig! En die extra batterijen en electronisch afval (als het apparaat kapot is) zijn ook prima voor het milieu.
Wat veiligheid betreft zullen beide systemen niet voor elkaar onder doen, daar ben ik van overtuigd. Mits je je TAN-codes niet op papier ontvangt en je slim genoeg bent om niet te reageren op mailtjes die codes willen hebben.
Enne, volgens mij valt alles te hacken als ze dat perse willen...
Kan iemand me nou eens uitleggen wat er onveilig is aan die papieren TAN-codes.
Ik bedoel, je krijgt er 100 in een keer, ok, maar ze worden random gevraagd, je bergt de papieren tan code niet op bij de computer en het is goedkoper dan sms-sjes (Voor de ING).
Ik zie eerlijk gezegd de toegevoegde waarde niet van een SMS die vervolgens op precies dezelfde manier ingevoerd moet worden als je alleen thuis bankiert. Raadplegen kan ik ook overal.
In mijn ogen zet je er juist een extra veiligheidsrisico tussen. Verlies, diefstal, uitlenen aan vrienden geen bereik en vervangen zijn sneller denkbaar bij een mobieltje dan dat iemand bij mij inbreekt voor die papieren codes die ze niet kunnen vinden. Ik zie het gemak van de SMS, maar dat is het opschrijven van je paswoord bij je computer ook.
Al 3,6 miljoen klanten van de Postbank maakten naar tevredenheid gebruik van de codes.
Correctie: 3.599.999 klanten maakten naar tevredenheid gebruik van de codes. Het is een achterhaalt en zeer frauduleus systeem en de enige rede dat ik het gebruik is omdat ik wordt gedwongen, omdat ze een hypotheek niet van een bankrekening kunnen afschrijven bij de Postbank. Prutsers! Wellicht dat het bij de ING straks anders gaat worden en ik die rekening kan opzeggen...
Ja zeker, het falende beveiligingssysteem voor online bankieren zegt niets over (de kwaliteit van) een hypotheek. Ze waren de goedkoopste (3,8% voor 10jr) met het hoogste rendement (werkelijk behaald en uitkeerbaar na aftrek van allerlei posten 5,6%). Echter wist ik pas NA het afsluiten van de hypotheek dat ik perse een Postbank rekening moest hebben omdat ze niet van een bankrekening kunnen afschrijven. Dus, ben benieuwd of dat nu wel verandert...
Daarnaast WAS de rekening gratis met pas, toen moest je voor de pas betalen en online bankieren (dus terug naar Basis) en inmiddels is ook een kale rekening gewoon betalen...
De ex-Postbank methode was ook de enige bank in Nederland die gevoelig is voor phishing e-mails. Vanwege de id/paswoord. En nu wordt ik gedwongen met dit achterhaald systeem te gaan werken. Ik wil niet continue er aan herrinert worden dat ik voorals geen tan code moet doorgeven. Dat hoefde ik ook niet want daar was het ING Bank systeem niet gevoelig voor.
En ik WIL mij GSM niet hier voor inzetten. Dan toch ook maar overstappen.
Klopt, waarom zou je inderdaad meer functies in 1 apparaat willen combineren? Vreselijk onpraktisch. Veel handiger om én een GSM én een random-reader mee te nemen. Ook die telefoon met camera erin, ook al zoiets onhandigs. En die telefoon waarmee je kan sms'en... Ik heb liever gewoon een losse buzzer mee! Ik WIL geen teksten ontvangen op mijn GSM.
Beste mensen, het is 2009. Jullie zijn op Webwereld, op internet! Het is echt geen onredelijk systeem en als het je niet bevalt, stap inderdaad lekker over naar een andere bank.
Ik heb niet de gewoonte om tijdens de vakantie op een publieke PC mijn geldzaken te doen. Dus die caluclator gaat nooit mee.
En nee, ik heb ook geen (eigen) lap-top.
Nee, doe ik ook niet. Maar, het kan ik de vakantie wel voorkomen dat je, om wat voor reden dan ook, geld moet overmaken van je spaarrekening naar je lopende, of wat ook maar. Als je dan je telefoon toevallig toch bij je hebt, dan kán het wel. En natuurlijk kun je je reader ook eventueel wel gewoon inpakken. Maar ik snap je punt niet helemaal, denk ik?
Werk je bij ING of verdedig je graag het hanteren van onveilige bescherming van accounte via verouderd gebuiker/wachtwoord combinaties en onpractische keuzes omdat het zo lekker goedkoop is voor de bank?
Neehoor, ik werk zeker niet bij de ING. Het enige wat mij stoort, is dat men Tan-codes onveilig vindt 'omdat ze onveilig zijn'. Zo zijn er ook veel mensen die Microsoft 'evil' vinden, omdat ze Microsoft 'evil' vinden. Waarbij Microsoft dan wordt afgekort tot M$, omdat Microsoft meer geld heeft dan de poster. En er is niets inherent onveilig aan Tan-codes per sms of op een lijst. Het is enkel de manier waarop je ermee omgaat. En dat geldt voor je Pinpas en pincode, je Paypal-account en ook je e-mail gebruikersnaam en wachtwoord. Ik heb in elk geval nog nooit in het nieuws gehoord 'Tan-lijst gestolen, bankrekening geplunderd'. Het zijn altijd phising sites waarop mensen zelf 1) gebruikersnaam 2)wachtwoord 3)een set van 10 Tan-codes opgeven. Overigens vraag PB (ING) al ruime tijd ook van de lijst een willekeurige TAN-code (maar elke code maar 1x natuurlijk). Vroeger was het altijd opvolgend, dus vroeg een phising site om je 'volgende 10 TAN-codes' en konden ze dus 10 transacties doen. Nu vraag de site om een willekeurige, dus 'voer TAN-code 45 in'. Dat is alweer lastiger te phisen (spel ik dit zo goed?) dan natuurlijk. Onmogelijk is het niet nee. Maar net zoals je je PINpas niet in een winkel moet gebruiken waar ze illegale dvd's verkopen en er een camera op het pin-apparaat gericht staat, moet je ook geen codes geven op websites die je niet vertrouwt of kent op die lijkt op je eigen bank (maar een compleet andere URL heeft).
Het geheugen is kort, readers zijn niet per definitie veilig
Readers zijn OOK te misbruiken bij een MitM. De SMS methode is in dat geval veiliger aangezien je de mogelijkheid hebt om het bedrag te vermelden bij de code ter controle.
Veiligheid begint bij mij nog altijd bij de voordeur. Een gebruikersnaam met vast wachtwoord om al bij rekening gegevens te kunnen komen is geen beveiliging.
En als ik dan toch moet kiezen: hoeveel heb je aan het weten van het bedrag als je geen verificatie krijgt van de rekeningnummers. Daar gaat je geweldige TAN systeem via SMS. Dan heb ik liever die bewezen Vasco machientjes dan de houding van ING om haar klanten zogenaamd te beschermen.
De ex-Postbank methode was ook de enige bank in Nederland die gevoelig is voor phishing e-mails. Vanwege de id/paswoord.
De phishing methode 'viste' naar login + password + een aantal TAN-codes, want ook met login en password kun je nog niets.
Als je zo dom bent om login + password + TAN-codes af te geven, dan verdien je niet beter dan dat je kaalgeplukt wordt...
En dat is nu precies wat ING wil: zorgen dat niet zij de verantwoordelijkheid hebben over de zwakte van de beveiliging, maar dat de gebruiker de schuld krijgt omdat die het systeem niet snapt. Wat was ook alweer de taak van de bank? Ik dacht toch ergens dat dat in dienst staan van haar klanten betrof, niet andersom.
Als je de TANcode per telefoon gebruikt dan is het systeem volgens mij juist veiliger. Omdat je communicatie met de bank via twee aparte kanalen gaat, is een man-in-the-middle attack zo goed als onmogelijk. Je kan niet tegelijkertijd en internet en telefoon aftappen van iemand.
Met de papieren lijst is het gevaarlijker, aangezien je dan inderdaad de code kan aftappen. Maar ook met een random reader is het mogelijk om een man in the middle attack uit te voeren (mits de gebruiker niet op zijn certificaten let)
Is er ooit al eens gerapporteerd over een werkend exploit van het sms-tancode systeem van postbank/ing? Niet? Nou dan?
ING ruilt die sleutelgenerator maar om een reden in: ze willen voor een dubbeltje op de eerste rang zitten. En hoeveel een dubbeltje ze waard is: nou, dat alle trouwe ING klanten voortaan ook een belachelijk verouderde standaard gebruikersnaam en wachtwoord 'beveiliging' op hun account hebben. Wat al genoeg is om heel makkelijk bij zeer persoonlijke gegevens te komen. En dat noemt ING dan veilig. Ze hebben geen respect voor integriteit. Veiligheid is daar enkel denken om de eigen centen.
Hoeveel kost een SMS per bericht? uiteindelijk is SMS duurder, maar veiliger en eenvoudiger.. Wie heeft er nou geen GSM in z'n zak..
TAN codes zijn super. Wel goed dat ze de papieren lijst aan houden, je kan namelijk niet met een buitenlands nummer werken. Daar kan DIGID nog wat van leren! (Ik kan nu niets meer doen omdat in Australië woon..).
Trouwens mijn lokale bank hier log je gewoon in met je pasnummer en een zelfgekozen wachtwoord, en je kan doen wat je wil. Niets geen random reader of TAN..
De TAN-code via SMS is veiliger dan de lijst. Zo'n lijst is immers opgeslagen in de database van de Postbank (nu ING), dus te hacken. De TAN-code via SMS wordt d.m.v. een randomnummergenerator voor elke transactie geproduceerd.
Mijn ervaring is, dat het ook in het buitenland geen probleem is.
Ik heb een hekel om overal en altijd bereikbaar te zijn. Daarom gebruik ik mijn mobieltje eigenlijk alleen voor noodgevallen en de TAN-codes. Dat hoeft niet duur te zijn. Ik een goedkoop toestelletje met ingekochte belminuten ("prepayed"). SMS'en doe ik zelf overigens nooit.
Mogelijk kan de ING-bank (tegen geringe kosten) een mobieltje verstrekken waarmee alleen TAN-berichten kunnen worden ontvangen,
Het probleem is alleen dat wanneer ik mijn mobieltje om wat voor een reden dan ook kwijt ben en er wordt gebruik van gemaakt de schuld bij mij ligt en ik kan fluiten naar mijn geld.
Als een hacker inbreekt bij het bedrijf krijg ik mijn geld terug want de oorzaak ligt duidelijk niet bij mij.
Ik zou willen dat elke bank hiernaar overstapt. Zit nu met 3 van die kl*te kaartlezers die je mee moet slepen. Als ze het niet doen is het weer ellendig etc. Als me mobiel ermee kapt dan pak je gewoon een van een ander en prop je je kaart erin.
Ik ben voor het systeem:
Inloggen en inzage van gegevens via loginnaam met wachtwoord. Kan je altijd en overal snel je rekeninggegevens raadplegen. Betalen vervolgens met SMS authenticatie of TAN lijst. Ik vind niet dat je mensen moet opzadelen met kosten voor een mobiel, als je dat niet wilt dan is een papieren lijst veilig genoeg dunkt me.
In het kort ben je dus liever voorstander van gemak dan veiligheid. Waar draait het bij een bank ook alweer om? Juist: betrouwbaarheid. Een bank die toegang tot je persoonlijke gegevens slechts beveiligd met een gebruikersnaam/wachtwoord is niet betrouwbaar maar loopt zwaar achter op het beschermen van haar klanten.
Die papieren lijst kan ik me nog wel wat bij voorstellen, maar zelfs die is zeer kwetsbaar.
Ik vind het TAN-systeem via SMS ideaal. Gewoon lekker makkelijk met je mobiel. Werkte voor mij tot nu toe ook prima in het buitenland. In de Costa Ricaanse jungle kreeg ik ook gewoon netjes het SMS'je binnen. Net als in Finland. Zo'n calculator is in mijn ogen alleen maar weer een extra apparaatje, dus onhandiger dan gewoon 1 apparaatje namelijk het mobieltje.
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
