Dit is een topic in Community » Forum » Mac Hardware » Airport & Netwerken

Waarschuwing: MijnING en iPhone

cailin coilleach

cailin coilleach op 25 februari 2010 #

Goedemiddag! Oplettende gebruikers van MijnING.nl zal het niet zijn ontgaan: de gebruikersvoorwaarden zijn recent veranderd. De belangrijkste verandering is dat ING het gemakkelijker wil maken om een password reset aan te vragen voor MijnING, het Internet bankieren van ING. Voorheen moest je hiervoor naar een bankkantoor om een nieuw password op te halen. Nu niet meer! Ben je je password vergeten, dan kan je nu via MijnING een nieuwe password opvragen. Het enige dat je nodig hebt zijn: * Je MijnING username * Je giropasnummer * Je geboortedatum * Een TAN code die naar je mobiele nummer wordt geSMSt. Eén probleem: drie van deze vier dingen zitten standaard in je jaszak / handtas / tas. "Geen punt!" zegt ING, "je moet je username dan ook goed geheim houden!". Dat argument gaat echter op twee punten mank: 1. Veel mensen hebben een voorspelbare username gekozen. 2. Mensen die met de iPhone Internet bankieren hebben de username in Safari opgeslagen! Dezelfde telefoon waarop ook de TAN codes binnenkomen! Dus. 1. Haal bij de login pagina van MijnING het vinkje "bewaar username" weg. 2. Wis de cookies van Safari, omdat de username daar ook in staat (instructies) Leden van Tweakers.net hebben al veelvuldig over het onderwerp gesproken en bij ING geklaagd. ING wijkt echter niet van hun standpunt dat dit geen onveilige situatie is. Misschien tijd om eens met Radar of Kassa te mailen?

iremco

iremco op 25 februari 2010 #

Zeer goede tip, ga ik gelijk aanpassen en twitteren. Slechte zaak van de ING overigens.

Mandarijntje

Mandarijntje op 25 februari 2010 #

Inderdaad erg bedankt voor deze tip!

cailin coilleach

cailin coilleach op 25 februari 2010 #

Denk ook eens aan je laptop! Als je die nou vaak meeneemt, zorg dan dat daar ook de username niet is opgeslagen. Eigenlijk geldt dit natuurlijk niet alleen voor de iPhone, maar voor elke smart phone. Laptops zijn natuurlijk ook een risico, omdat je die vaak in een grotere tas met je portemonee/telefoon meeneemt. Het is alleen zo dat de iPhone het Internet bankieren zo enorm gemakkelijk maakt

sypie

sypie op 25 februari 2010 #

En vanwaar is dit een Hardcore roddel? Het lijkt mij meer iets voor Algemeen.

R-Flow

R-Flow op 25 februari 2010 #

Ben eigenlijk wel blij dat ik niet vijf werkdagen hoef te wachten en helemaal naar zo'n klote Postkantoor toe moet voor het ophalen van me nieuwe wachtwoord... Mijn TAN-codes staan overigens nog gewoon lekker ouderwets op een A4'tje. Dus die zooi wordt ook niet door de lucht naar m'n 06 toegestuurd.

sypie En vanwaar is dit een Hardcore roddel? Het lijkt mij meer iets voor Algemeen.

Snap ik ook niet.

cailin coilleach

cailin coilleach op 25 februari 2010 #

Omdat ik dacht dat Algemeen alleen over de site ging. Wat mij betreft mag het best worden verhuist hoor. Enne R-Flow, zodra jij door je A4tje heen bent moet jij ook over op SMS. ING gaat geen nieuwe vellen met codes meer uitgeven.

R-Flow

R-Flow op 25 februari 2010 #

cailin coilleach Enne R-Flow, zodra jij door je A4tje heen bent moet jij ook over op SMS. ING gaat geen nieuwe vellen met codes meer uitgeven.

Waar staat dat? In de huidige voorwaarden worden nog steeds beide opties gegeven. Daarnaast heb ik deze nieuwe lijst net twee maanden geleden ontvangen van ING.

Pieterr op 25 februari 2010 #

cailin coilleach  ING gaat geen nieuwe vellen met codes meer uitgeven.

Is dat echt zo? Waar staat dat dan? Ik maak dat niet op uit de TAN FAQ. Ik gebruik ook nog het ouderwetsche A4'tje. Ik heb helemaal geen behoefte aan een TAN naar m'n mobiel. Als het waar is zou het voor mij wel eens de druppel kunnen zijn om voorgoed te vertrekken bij de ING. Vooral de dakpan-constructie in hun spaarregelingen heeft mij al voldoende ergernis opgeleverd.

Macosxachist op 25 februari 2010 #

R-Flow Daarnaast heb ik deze nieuwe lijst net twee maanden geleden ontvangen van ING.

Ik de mijne vorige week. Ben ook niet van plan over te schakelen op de SMS-methode. Zodra die mogelijkheid vervalt, stap ik over op een andere bank.

jtd

jtd op 25 februari 2010 #

cailin coilleach  1. Haal bij de login pagina van MijnING het vinkje "bewaar username" weg.

Logisch toch. Veilig internetten is niet alleen een zaak van de aanbieder van de dienst, maar ook van de gebruiker... En welk bezwaar zien jullie in het per SMS aanbieden van de TANcode?

cailin coilleach

cailin coilleach op 25 februari 2010 #

jtd  Logisch toch. Veilig internetten is niet alleen een zaak van de aanbieder van de dienst, maar ook van de gebruiker...

En wat met mensen die een gemakkelijk te raden / logische username hebben? "pjansen" voor Piet Jansen bijvoorbeeld?

En wat voor bezwaar zien jullie in het per SMS aanbieden van de TANcode?

Je bedoelt buiten deze specifieke situatie? Een vel met TAN codes is minder gemakkelijk te jatten dan een mobieltje, puur omdat je'm niet overal mee naartoe neemt. Zo'n handige calculator met een challenge/response zou natuurlijk nog veel beter zijn. Kijk naar -alle- andere banken in Nederland.

TAN A4tjes

Wat betreft de TAN A4tjes: in het gesprek op Tweakers kwam dit voorbij. Mogelijk dat ik het verkeerd heb begrepen, maar het is in elk geval onmogelijk om van SMS terug te gaan naar TAN A4tje. Dat werd in elk geval de leden aldaar verteld toen men daar expliciet om vroeg.

R-Flow

R-Flow op 25 februari 2010 #

En fora zijn uiteraard de meest betrouwbare bronnen wat dit soort zaken betreft.

jtd

jtd op 25 februari 2010 #

cailin coilleach  En wat met mensen die een gemakkelijk te raden / logische username hebben? "pjansen" voor Piet Jansen bijvoorbeeld?

Dat zeg ik: Veilig internetten is niet alleen een zaak van de aanbieder, maar ook dat van de gebruiker....

R-Flow

R-Flow op 25 februari 2010 #

cailin coilleach En wat met mensen die een gemakkelijk te raden / logische username hebben? "pjansen" voor Piet Jansen bijvoorbeeld?

Dus als mensen geen virusscanner hebben, firewall uit hebben staan, geen wachtwoord ingesteld voor hun gebruikersaccount en een open Wi-Fi-verbinding hebben is het Apple's en Microsoft's schuld dat het besturingssysteem onveilig is? Beetje vage redenatie. Ben het hier volledig met jtd eens: veiligheid ligt ook bij de eindgebruiker zelf.

cailin coilleach

cailin coilleach op 25 februari 2010 #

Ik zeg ook niet dat de gebruiker helemaal geen rol heeft in deze. Ik zeg alleen wel dat ING nu het spel plotseling voor iedereen omdraait. Eerst was je username niet zo belangrijk, maar moest je je password vooral goed geheim houden. En nu gaat dat uit het raam omdat je passwords gewoon via SMS aan kan vragen en moet je plotseling je username heel geheim houden. Dat is wel een beetje vreemd! Vergelijk het met keypair encryptie... Je private key is geheim en die heb jij alleen. Je public key maak je bekend aan andere partijen om zo authenticatie mogelijk te maken. Wat ING nu doet is dit overhoop halen, door te zeggen dat je private key niet belangrijk is, maar dat vooral niemand mag weten wat je public key is. Mja, ik vind't niet slim... Jullie hebben natuurlijk gelijk: je moet eigenlijk beiden geheim houden, maar de hele wereld is gewend dat een username niet spannend is, maar het password wel. EDIT: Wat dacht je van email? Je username is daar vaak het stuk voor de @! Zie dat maar eens geheim te houden

R-Flow

R-Flow op 25 februari 2010 #

Ik weet niet beter dat ING (Postbank) altijd gezegd heeft dat je gebruikersnaam en wachtwoord persoonlijke informatie is. Wanneer je bankpas EN je telefoon (waarop je TAN-codes komen) EN je gebruikersnaam gegevens gejat zijn is het dus gewoon een kwestie van direct de boel laten blokkeren. Iets wat je sowieso moet doen als je bankpas gestolen is... Is met 5 minuten gebeurd. ING heeft niet voor niets een alarmnummer...

jtd

jtd op 25 februari 2010 #

Volgens de ING: Het opnieuw aanvragen van uw inloggegevens wordt vanaf maart 2010 eenvoudiger. U kunt dan kiezen wat u wilt aanvragen: alleen een wachtwoord, gebruikersnaam of beiden. Daarnaast kunt u als u TAN-code via mobiel gebruikt een nieuw wachtwoord ontvangen per sms-bericht. Als u uw gebruikersnaam aanvraagt, dan ontvangt u binnen 5 werkdagen een brief met daarin uw gebruikersnaam. Ik zie niet in hoe het mogelijk is dat als mijn pas, mobiel en er een gok gedaan wordt naar mijn gebruikersnaam er dan ineens iemand anders met mijn bankrekening vandoor gaat. Wat R-flow ook zegt: blokeren die handel!

jtd

jtd op 25 februari 2010 #

cailin coilleach  Wat dacht je van email? Je username is daar vaak het stuk voor de @! Zie dat maar eens geheim te houden

Dat is dan goed stom!

cailin coilleach

cailin coilleach op 25 februari 2010 #

Vertel jij het aan alle mail providers in de wereld?

Ik zie niet in hoe het mogelijk is dat als mijn pas, mobiel en er een gok gedaan wordt naar mijn gebruikersnaam er dan ineens iemand anders met mijn bankrekening vandoor gaat.

Stel een gok, maar neem aan een username die nog ingevuld stond. En jij ziet het niet? 1. Vraag een nieuw wachtwoord aan 2. Krijg dit geSMSt 3. Login 4. Haal bankrekening leeg Mis ik iets of jij iets? Voor dat blokkeren zal jij vast wel een half uurtje nodig hebben, of heb jij het spoednummer van ING altijd in je tweede GSM in je broekzak zitten?

Reageer

Over dit topic

Gestart op 25 februari 2010 door cailin coilleach

Laatste reactie door mymac

Reageer op dit topic