[img=right]http://www.macfreak.nl/base/data/news/images/iPhone_3G_S.jpg[/img]Oplettende gebruikers van Mijn ING.nl zal het niet zijn ontgaan: de gebruikersvoorwaarden zijn recent veranderd.

De belangrijkste verandering is dat ING het gemakkelijker wil maken om een password reset aan te vragen voor Mijn ING, het Internet bankieren van ING. Voorheen moest je hiervoor naar een bankkantoor om een nieuw password op te halen. Nu niet meer!

Ben je je password vergeten, dan kan je nu via Mijn ING een nieuwe password opvragen. Het enige dat je nodig hebt zijn:

* Je Mijn ING gebruikersnaam
* Je giropasnummer
* Je geboortedatum
* Een TAN code die naar je mobiele nummer wordt geSMSt.

Eén probleem: drie van deze vier dingen zitten standaard in je jaszak/handtas/tas. "Geen punt!" zegt ING, "je moet je gebruikersnaam dan ook goed geheim houden!".

Dat argument gaat echter op twee punten mank:

1. Veel mensen hebben een voorspelbare gebruikersnaam gekozen.
2. Mensen die met de iPhone internetbankieren hebben de gebruikersnaam in Safari opgeslagen! Dezelfde telefoon waarop ook de TAN codes binnenkomen!

Dus.

1. Haal bij de login pagina van Mijn ING het vinkje "bewaar gebruikersnaam" weg.
2. Wis de cookies van Safari, omdat de gebruikersnaam daar ook in staat (instructies)

Leden van Tweakers.net hebben al veelvuldig over het onderwerp gesproken en bij ING geklaagd. ING wijkt echter niet van hun standpunt dat dit geen onveilige situatie is.

Ik telebankier al heel lang via ING. Na de overgang van de speciale toegangscalculator naar de TAN code via SMS is het gemak wél, maar de veiligheid zeker niet vooruit gegaan. De belangrijkste zwakke schakel staat hierboven reeds gemeld: de gebruikersnaam (in normale situaties i.c.m. het wachtwoord) en de optie om die te bewaren zodat je 'm in de browser niet meer in hoeft te vullen.

Zeker bij laptops is dit een punt van aandacht: zodra ze jouw laptop en telefoon hebben kan men letterlijk alles doen met alle bankrekeningen die lopen bij de ING. Sinds een paar maanden is óók de creditcard aan dit systeem gekoppeld. Handig, maar ook (wederom) een verhoogd risico.

Zet daarom het automatisch inloggen bij een laptop uit (is niet 100% waterdicht, maar 't scheelt wel) en het automatisch invullen van de inloggegevens eveneens uit. Dat je daarnaast ook niet ergens anders op de machine je gebruikersnaam/wachtwoord in een documentje moet bewaren, is redelijk logisch. En, oh ja: stop je telefoon nooit tegelijk met jouw laptop in een laptoptas maar bewaar beide apparaten gescheiden van elkaar.

[ Ger ]

Goede punten Ger. Ik heb m'n post op OMT ook wat aangepast.

Dit verhaal geldt vanzelfsprekend niet alleen voor de iPhone, maar voor elke smart phone. De iPhone heeft het voor ons Apple-luitjes alleen zo gemakkelijk gemaakt om te Internet bankieren   En inderdaad geldt het net zo hard voor je laptop, die vaak in de tas met je portemonee en telefoon zit.

... "Veel mensen hebben een voorspelbare username gekozen"...

ik heb een onmogelijk te onthouden username bij ing dus was -tot nu dus- blij met de functie onthouden hiervan. kan ik die username aanpassen dan?

Dat kan inderdaad, alleen de pagina lijkt bij mij in Safari niet te werken.

1. Log in op MijnING
2. Kies uit het menu links, onderaan "Service & instellingen"
3. Kies rechts boven "Mijn instellingen" -> "Gebruikersnaam"

Dit leek ons belangrijk genoeg om even naar de nieuwsberichten te verplaatsen.

Vanwege dat zogenaamde nieuwe systeem van de ING bank ben ik weg gegaan. Sms en bankgegevens no way!
Ze hebben gewoon de ING klanten gedwongen omdat oude postbanksysteem tegebruiken.
Zonder enige aankondiging.
Waardeloze bank

(Bewerkt door cbrouwer om 0:10, 26-02-2010)

Wat een hersenloze actie van ING. Een kind snapt het risico hiervan. Maar ze krijgen het vanzelf op hun brood, slechte publiciteit zal het gevolg zijn, en dat kunnen ze niet hebben, want geloof me: er wordt zwaar geconcurreerd op het gebied van het veiligheids-imago van de banken onderling.

@ Cailin Coilleach: hartelijk bedankt voor de waarschuwing, vanaf nu is bij mij het vinkje bij 'bewaar gebruikersnaam' weg en blijft mijn rekening ook echt van mij...

Onbegrijpelijk dom van de ING. Tragisch om te zien dat ze die vreselijke zaken van de Postbank continueren. Ik heb de Postbank ook altijd een tragisch fenomeen gevonden en ik zal de mensen die daar blijven "bankieren" wel nooit begrijpen. Geen productieve opmerkingen, maar moest het even kwijt...goed dat dit in de nieuwspagina terecht is gekomen.

@A Henket ING tragisch? Het is de enige bank waar je je niet blauw betaald om aan je eigen geld te mogen komen, en de enige bank die niet met meedoet met die idiotie van die code-calculators die alleen maar voor een veilig "gevoel" zorgen, maar in werkelijkheid helemaal niet veiliger (of onveiliger) zijn dan het SMS-systeem van de postbank, dat in mijn ogen echt vele malen comfortabeler werkt, tot nu toe dan, want op deze manier draaien ze het de nek om.

(Bewerkt door wappie om 20:07, 26-02-2010)

Daar zit je dan goed naast wappie. Zo'n aparte calculator is inherent veiliger dan een lijst met TAN codes, digitaal of niet.

Bij een lijst met TAN codes staan van tevoren al vast welke codes nodig zijn en in welke volgorde zij gaan komen. Het is voor een naar persoon dus zaak om OF je lijst met TAN codes in handen te krijgen, OF om de telefoon in handen te krijgen waarop je de codes ontvangt. Daarna is het gebeurd.

Met de meeste calculators heb je er niet genoeg aan om het apparaat in je bezit te hebben. Zij werken met een challenge/response systeem, waarbij de terug te geven code afhankelijk is van je eigen PIN code van het apparaat, plus de reeks cijfers die je invoert (de challenge). De uitkomst (response) wordt vergeleken met de response die de server uit heeft gerekend en dan wordt de transactie al dan niet goed gekeurd. Bij een calculator heb je dus EN nog een PIN nodig, PLUS de uitkomsten staan niet vooraf al vast.

Daarnaast heb je bij sommige banken (zoals ABN) ook nog het punt dat de bankpas nodig is, want die moet in een sleuf worden gestoken.

Dus... Je hebt het volgende nodig voor malafide transacties:

ING/Postbank:
* Username
* Password
* Tan lijst of GSM

Andere banken:
* Username
* Password
* Calculator
* PIN code calculator
* (Bankpas)

Welke was ook al weer voor de schijnveiligheid?

Ik bankier al jaren bij de Postbank (ING) met plezier. Geen gedoe en kan overal ter wereld zonder calculator inloggen en geld overmaken.

Een lijst met TAN codes opvragen is niet meer van deze tijd en ik kan me niet voorstellen dat iemand dat nog doet. ALs je dus je password echt uniek maakt (en voor jezelf houdt) is er toch weinig aan de hand. Daarnaast is mijn Blackberry ook beveiligd met een password, dus daar heeft een onverlaat ook niet veel aan om TAN codes te genereren. Dus conclusie mijnerzijds is dat als je dus je password voor jezelf houdt, je telefoon beveiligd en/of niet samen met je laptop bewaard zit het volgens mij wel safe.

Wat ik om mij heen zie is dat veel mensen die calculators bewaren bij hun bankpapieren in het bureau waar ook de computer op staat. Volgens mij is beetje slimme inbreker er dan ook zo uit als ie ook nog eens je bankpasje weet te vinden of eerder al van je heeft gestolen.

@Cailin Coilleach
Je hebt me overtuigd, dank voor de uitleg! Ik liep wat achter. Challenge/Response systeem is nieuw voor me.

Dat dit systeem niet bepaald slim is ben ik met iedereen eens. Maar toch staan er een paar onjuistheden hierboven. Van de lijst met TAN-codes is de volgorde niet van tevoren bekend, die is willekeurig. Of de dief zou ook in het computersysteem van ING moeten kunnen kijken.
En de codes per sms ontvangen is niet nodig. Als je daar niet naar wilt overstappen blijf je gewoon een lijst ontvangen, die dus in willekeurige volgorde wordt afgewerkt. Natuurlijk moet je met die lijst dan wel een beetje zorgvuldig omgaan, niet je inloggegevens er opzetten bijvoorbeeld.
Dit geldt dan wel alleen voor oude klanten, want ik geloof dat nieuwe klanten nu min of meer gedwongen worden de sms-methode te gebruiken.

De calculator is niet gebruiker-afhankelijk. De nare persoon kan 'm zelf meenemen. Hij heeft wel je bankpas nodig. Bij ING je telefoon.

Bij ING herinnert Safari (bij mij) het password niet. Het is een knap ingewikkeld password, en ik zal eerder merken dat ik mijn telefoon kwijt ben dan dat een naar persoon dat password kan genereren. Maar 't is alleen maar mooi als ING 't wel veilig vindt. Als er namelijk iets fout gaat, zijn zij verantwoordelijk.

Niets houdt je tegen om een pre-paid mobieltje te kopen voor het ontvangen van TAN codes.

Bert
Die nog geen iPhone heeft, dus verder ook geen probleem heeft.
Die verder vindt dat de ontwikkelaars van de ABN-AMRO site en de ING site doodgeschoten mogen worden. Mijn god, wat zijn die sites ongebruiksvriendelijk.

(Bewerkt door bert om 12:07, 28-02-2010)

De mededeling heeft niets met de iPhone te maken, maar ik meld het voor de zekerheid toch maar. Zojuist trof ik (tot twee keer toe) in m'n reguliere mail deze serieuze phishing poging aan:



Natuurlijk niet afkomstig van ING, maar nauwelijks van echt te onderscheiden. De link in de e-mail verwijst naar een website in het buitenland waar wordt gevraagd bankgegevens in te vullen. Niet doen, dus..!

U bent gewaarschuwd...

[ Ger ]

@ger "niet van echt te onderscheiden"? Wat is dan "echt"? Alleen het uitgewassen logo! Ik heb nog nooit mail gehad van de ING, en als ze al een mailtje zouden sturen zouden ze niet zo'n rare taal bezigen en afsluiten met "groeten". Voor dit soort mailtjes waarschuwen op deze plek lijkt me nogal overdreven.

(Bewerkt door wappie om 11:47, 3-03-2010)

Je zegt het zelf al: je hebt nog nooit een e-mail van ING gehad. Je kijkt hier naar een JPG: in de e-mail was het logo gewoon haarscherp. Het e-mail adres van de afzender lijkt vertrouwd. Opmaak, lettertype en stijl zijn exact conform de huisstijl van de ING. Klik je op de link, dan kom je op een site welke een exacte kopie is van de werkelijke ING internetsite. Pas als je heel goed op URL's let of de broncode zo'n e-mail bekijkt (wie doet dat standaard..?), kun je zien dat er iets niet klopt.

Er is in de tussentijd contact geweest met de ING. Uiteraard geeft men omwille van 't bedrijfsbelang geen informatie over de omvang, maar het was duidelijk dat heel veel mensen zo'n mailtje hebben ontvangen en dat er genoeg mensen gewoon hebben gedaan wat in de e-mail werd gevraagd. Het is inderdaad een redelijk standaard truc, maar lang niet iedereen heeft dat altijd door. De gelinkte site is overigens inmiddels uit de lucht getrokken. Vermoedelijk omdat ING doelgericht aktie kon ondernemen via de providers van wie een klant de servers misbruikte met deze phising-site.

Hier kost het slechts een paar extra bitjes en bytejes aan informatie in 'n draadje. Wat is er mis mee om te waarschuwen en te laten zien hoe zo'n mail eruit ziet..? Al heeft het maar voor één persoon een hoop ellende bespaard, was het in mijn beleving al de moeite waard.

[ Ger ]

Die internetcriminelen kunnen een hoop, maar mensen die behoorlijke teksten kunnen produceren recruteren lukt ze blijkbaar nooit.
Bizar gewoon. Alle 'complexe' details kloppen, maar de tekst verraadt ze al bij een oppervlakkige lezing.

Wat ik om mij heen zie is dat veel mensen die calculators bewaren bij hun bankpapieren in het bureau waar ook de computer op staat. Volgens mij is beetje slimme inbreker er dan ook zo uit als ie ook nog eens je bankpasje weet te vinden of eerder al van je heeft gestolen.

Aan de "calculator" en de bankpas heb je helemaal niets als je de pincode van de pas niet weet. kortom; triple check, erg veilig dus.

Over die ING phising mail:

"Alle internet banking-gebruikers zijn verplicht te controleren en hun bankrekening als gevolg van een recente update"

Sorry hoor maar mensen die dat niet als nep kunnen determineren kunnen misschien maar beter nooit meer internetbankieren!

Dat kan wel wezen, maar je overschat de intelligentie van de gemiddelde mens. En mailtjes worden oppervlakkig gelezen, waardoor fouten vaak niet eens opvallen. Dit bij elkaar opgeteld en je hebt heel wat mensen die automatisch doen wat er van ze gevraagd wordt....