Forum SpaarInformatie | Sparen | SpaarRente | SpaarBanken | En meer :: SMS-TAN "kraakbaar" : ING Bank

Minimaal één extra beveiliging zou moeten worden ingevoerd, bv.:
- De scanner zou persoonlijk moeten zijn, m.a.w. niet het bankrekeningnummer maar het scannernummer moet op de webpagina worden ingevoerd.
- Inloggen geschiedt met een wachtwoord. Desnoods aangevuld met een code uit de scanner, al is dit m.i. overbodig.
- Bij het inloggen wordt een SMS-tan verzonden en ingevoerd. (om verschillende redenen zou deze optie niet mijn voorkeur hebben)

Abnamro werkt op zelfde manier als Rabo.
Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken.
Hoe veilig is dit ??

Intrest schreef:

Abnamro werkt op zelfde manier als Rabo.
Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken.
Hoe veilig is dit ??

Daar boek je toch veel minder grote bedragen mee heen en weer. Daar krijg je niet ineens een spaarrekening voor zoveel duizend euro mee leeg (en je kan zelf max bedragen instellen, dus nog lager zetten).

Het invoeren van een wachtwoord bij het inloggen - zoals BillGates voorstelt - zal het Rabobanksysteem inderdaad veiliger maken. Daarmee is echter niet gezegd dat het nu onveilig is.
Rabobank zal zich in voorkomende gevallen op het standpunt stellen dat de cliënt artikel 21 van de Algemene Bankvoorwaarden heeft geschonden. Zij heeft daar (juridisch) een punt.
Artikel 21 (Bewaar- en geheimhoudingsplicht) luidt: (1) De cliënt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliënt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliënt houdt zich aan de door de bank gegeven beveiligingsvoorschriften. (2) Als de cliënt weet of redelijkerwijs kan vermoeden dat door of namens de bank aan hem ter beschikking gestelde middelen in handen van een onbevoegde zijn geraakt of daarmee misbruik is of kan worden gemaakt of dat een onbevoegde zijn pin- en/of toegangscode(s) kent, moet hij daarvan terstond mededeling doen aan de bank

Ik vraag mij wel eens af als je onder dwang je pas en pincode moet afgeven, wie is er dan aansprakelijk.

groentje schreef:

Intrest schreef:

Abnamro werkt op zelfde manier als Rabo.
Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken.
Hoe veilig is dit ??

Van de abnamro site; Daglimiet wijzigen voor Internet Bankieren
- Log in en ga naar 'Beheer'
- Selecteer 'Daglimiet wijzigen' onder ‘Identificatiecode kiezen’
- Wijzig de limiet en bevestig met uw e.dentifier.
Als iemand jouw pas en pincode heeft, kan deze persoon de limiet verhogen naar maximum en vervolgens geld wegboeken.
Echt niet veilig in dit scenario.

@Groentje, bij Rabo is de random reader/scanner niet aan een persoon of rekening# gekoppeld. iedere reader kan gebruikt worden.
Ik weet het niet, maar bij ABN/AMRO zou dat ook wel het geval kunnen zijn. Dus zijn er honderdduizenden van in omloop. Dus niets buitmaken, gewoon een rekening aanhouden bij deze banken.

Ik vraag me vooral af wat de meerwaarde is van zo'n Random Reader of scanner. Eén ding is duidelijk: het gebruik ervan bewijst dat degene die inlogt in het bezit is van de bijbehorende pas en pincode. Maar eenmaal "binnen" is het gebruik ervan totaal overbodig, vergelijk het met een gebouw waarbinnen op elke deur een slot zit dat exact gelijk is aan het slot op de buitendeur. De klant wordt in de waan gebracht bezig te zijn met een beveiliging terwijl hij alleen maar bezig gehouden wordt met het onnodig overtikken van cijfers. (Aan de kant van de bank ligt dit anders, die kan hiermee bewijzen dat alle individuele opdrachten door de klant zijn geverifieerd en de klant dus ook zelf verantwoordelijk is als bv een verkeerde IBAN is ingevoerd.)

Auteur:	Piggy [ wo 28 dec 2016 7:27 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
JandeV schreef: Minimaal één extra beveiliging zou moeten worden ingevoerd, bv.: - De scanner zou persoonlijk moeten zijn, m.a.w. niet het bankrekeningnummer maar het scannernummer moet op de webpagina worden ingevoerd. - Inloggen geschiedt met een wachtwoord. Desnoods aangevuld met een code uit de scanner, al is dit m.i. overbodig. - Bij het inloggen wordt een SMS-tan verzonden en ingevoerd. (om verschillende redenen zou deze optie niet mijn voorkeur hebben) Ik zou zeggen, maak het extra secure! Dus: Persoonlijke scanner+inlognaam(+wachtwoord)+SMS-code+pinpas(+pincode) Heb je een 4 authenticatiestappen beveiliging . Kan de Rabobank trots vermelden dat ze supersafe zijn

Auteur:	Intrest [ wo 28 dec 2016 8:03 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Abnamro werkt op zelfde manier als Rabo. Abnamro nog met e.dentifier (is kastje gelijk aan Random Reader rabo) Rabo heeft tegenwoordig scanner. Vaak klachten over rabo, abnamro minderklachten ?? Als iemand je pas en pincode ontfutseld kan je veel tot alles worden ontnomen wat je bij bank hebt staan. Het is een zeer onveilig systeem. Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken. Hoe veilig is dit ?? Eventuele verificatie komt bij smartphone op zelfde apparaat binnen als waarmee je opdracht geeft. Ik vind het allemaal gevaarlijk. Ik heb speciaal bij een bank een betaalrekening waar nooit te veel op staat (incl. sparen) en dit pasje heb ik bij me en daar betaal ik mee. Andere pasjes gebruik ik niet buitenshuis.

Auteur:	JandeV [ wo 28 dec 2016 8:18 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Geen ervaring met ABN. Maar als het zo is, zie ik maar 1 antwoord: wegwezen. Mobiel bankieren kun je vooralsnog laten wat het is.

Auteur:	groentje [ do 29 dec 2016 6:22 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Intrest schreef: Abnamro werkt op zelfde manier als Rabo. Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken. Hoe veilig is dit ?? Daar boek je toch veel minder grote bedragen mee heen en weer. Daar krijg je niet ineens een spaarrekening voor zoveel duizend euro mee leeg (en je kan zelf max bedragen instellen, dus nog lager zetten).

Auteur:	Intrest [ do 29 dec 2016 8:30 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
groentje schreef: Intrest schreef: Abnamro werkt op zelfde manier als Rabo. Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken. Hoe veilig is dit ?? Daar boek je toch veel minder grote bedragen mee heen en weer. Daar krijg je niet ineens een spaarrekening voor zoveel duizend euro mee leeg (en je kan zelf max bedragen instellen, dus nog lager zetten). Van de abnamro site; Daglimiet wijzigen voor Internet Bankieren - Log in en ga naar 'Beheer' - Selecteer 'Daglimiet wijzigen' onder ‘Identificatiecode kiezen’ - Wijzig de limiet en bevestig met uw e.dentifier. Als iemand jouw pas en pincode heeft, kan deze persoon de limiet verhogen naar maximum en vervolgens geld wegboeken. Echt niet veilig in dit scenario.

Forum SpaarInformatie \| Sparen \| SpaarRente \| SpaarBanken \| En meer https://forum.spaarinformatie.nl/

SMS-TAN "kraakbaar" https://forum.spaarinformatie.nl/ing-bank-f20/sms-tan-kraakbaar-t9392-15.html	Pagina 2 van 3

Auteur:	Intrest [ do 29 dec 2016 8:39 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Empire schreef: Het invoeren van een wachtwoord bij het inloggen - zoals BillGates voorstelt - zal het Rabobanksysteem inderdaad veiliger maken. Daarmee is echter niet gezegd dat het nu onveilig is. Rabobank zal zich in voorkomende gevallen op het standpunt stellen dat de cliënt artikel 21 van de Algemene Bankvoorwaarden heeft geschonden. Zij heeft daar (juridisch) een punt. Artikel 21 (Bewaar- en geheimhoudingsplicht) luidt: (1) De cliënt moet aan hem ter beschikking gestelde middelen zoals formulieren, informatiedragers, communicatie- en beveiligingsmiddelen, passen, pin- en toegangscodes en wachtwoorden zorgvuldig bewaren en behandelen. De cliënt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen. De cliënt houdt zich aan de door de bank gegeven beveiligingsvoorschriften. (2) Als de cliënt weet of redelijkerwijs kan vermoeden dat door of namens de bank aan hem ter beschikking gestelde middelen in handen van een onbevoegde zijn geraakt of daarmee misbruik is of kan worden gemaakt of dat een onbevoegde zijn pin- en/of toegangscode(s) kent, moet hij daarvan terstond mededeling doen aan de bank De cliënt moet met persoonlijke pin- en toegangscodes en dergelijke zorgvuldig omgaan en deze geheim houden voor andere personen Ik vraag mij wel eens af als je onder dwang je pas en pincode moet afgeven, wie is er dan aansprakelijk.

Auteur:	Piggy [ vr 30 dec 2016 9:34 am ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Intrest schreef: Ik vraag mij wel eens af als je onder dwang je pas en pincode moet afgeven, wie is er dan aansprakelijk. Goede vraag. Ben bang dat banken eronderuit proberen te komen en de schuld bij jou neer gaan leggen. Als je een bankpas van de ING hebt en je gedwongen wordt om je pinpas+pincode af te staan dat kan je het leed verkleinen door een maximum bedrag online in te stellen van bijvoorbeeld 100 euro per pintransactie (of wat anders). Niet leuk, maar niet zo erg dat ze snel je rekening leeg trekken.

Auteur:	groentje [ vr 30 dec 2016 2:26 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Intrest schreef: groentje schreef: Intrest schreef: Abnamro werkt op zelfde manier als Rabo. Mobiel bankieren komt steeds meer in en wordt in rap tempo verder uitgebreid in mogelijkheden overboeken. Hoe veilig is dit ?? Daar boek je toch veel minder grote bedragen mee heen en weer. Daar krijg je niet ineens een spaarrekening voor zoveel duizend euro mee leeg (en je kan zelf max bedragen instellen, dus nog lager zetten). Van de abnamro site; Daglimiet wijzigen voor Internet Bankieren - Log in en ga naar 'Beheer' - Selecteer 'Daglimiet wijzigen' onder ‘Identificatiecode kiezen’ - Wijzig de limiet en bevestig met uw e.dentifier. Als iemand jouw pas en pincode heeft, kan deze persoon de limiet verhogen naar maximum en vervolgens geld wegboeken. Echt niet veilig in dit scenario. Een pas + pincode is toch geen e.dentifier? Dat is weer een ander apparaatje. Die moet je dan ook al hebben buitgemaakt.

Auteur:	BillGates [ vr 30 dec 2016 3:35 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
@Groentje, bij Rabo is de random reader/scanner niet aan een persoon of rekening# gekoppeld. iedere reader kan gebruikt worden. Ik weet het niet, maar bij ABN/AMRO zou dat ook wel het geval kunnen zijn. Dus zijn er honderdduizenden van in omloop. Dus niets buitmaken, gewoon een rekening aanhouden bij deze banken.

Auteur:	Intrest [ za 31 dec 2016 12:13 am ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
BillGates schreef: @Groentje, bij Rabo is de random reader/scanner niet aan een persoon of rekening# gekoppeld. iedere reader kan gebruikt worden. Ik weet het niet, maar bij ABN/AMRO zou dat ook wel het geval kunnen zijn. Dus zijn er honderdduizenden van in omloop. Dus niets buitmaken, gewoon een rekening aanhouden bij deze banken. e-dentifier abnamro, het kastje waar je pinpas instopt is niet aan persoon of rekening gekoppeld. Bij ING geeft extra verificatie via SMS-Tan toch wat meer zekerheid.

Auteur:	groentje [ za 31 dec 2016 5:08 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
O dat is inderdaad wel slecht dan. En je moet je bankpas er in stoppen, dus geen "eigen" (pin)code op die reader? Dan ben je inderdaad wel erg snel het haasje, als men je pin+pas afneemt. Eigenlijk zou in zo'n geval dus betreffende bank aansprakelijk moeten zijn, als de de tuinpoort zo open laten staan voor iedereen.

Auteur:	Empire [ za 31 dec 2016 5:21 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
De laatste bijdrage van Intrest kan ik bevestigen. Zelf ben ik onder meer klant bij Rabobank, ABN Amro en ING. JandeV schreef: Citaat: Ik vraag me vooral af wat de meerwaarde is van zo'n Random Reader of scanner. Eén ding is duidelijk: het gebruik ervan bewijst dat degene die inlogt in het bezit is van de bijbehorende pas en pincode. Maar eenmaal "binnen" is het gebruik ervan totaal overbodig, vergelijk het met een gebouw waarbinnen op elke deur een slot zit dat exact gelijk is aan het slot op de buitendeur. De klant wordt in de waan gebracht bezig te zijn met een beveiliging terwijl hij alleen maar bezig gehouden wordt met het onnodig overtikken van cijfers. (Aan de kant van de bank ligt dit anders, die kan hiermee bewijzen dat alle individuele opdrachten door de klant zijn geverifieerd en de klant dus ook zelf verantwoordelijk is als bv een verkeerde IBAN is ingevoerd.) Neen, eenmaal "binnen" is het gebruik van de Rabo Scanner (of voorheen de Random Reader) met pas en pincode niet "totaal overbodig". De klant wordt ook niet "in de waan gebracht bezig te zijn met een beveiliging". Man-in-the-middle en man-in-the-browser-aanvallen worden hiermee geweerd. Door de komst van de Rabo Scanner behoeven (i.t.t. de Random Reader) minder cijfers te worden overgetikt. Dat overtikken is niet "onnodig". A penny saved is a penny earned.

Auteur:	JandeV [ za 31 dec 2016 8:37 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Zoals ik ervan overtuigd ben dat mensen met ervaring bij ABN en RABO beter op de hoogte zijn dan ik, weet ik ook dat er mensen zijn die meer kennis op het criminele vlak bezitten dan ik. Dat de procedure bij genoemde banken MiTM- en MiTB-aanvallen zou weren lijkt mij in een uiterst klein aantal gevallen waar, maar in verreweg de meeste gevallen onwaar. En dat laatste ook nog eens in toenemende mate. Een moderne MiTB toont de gebruiker tot aan de authenticatie en vaak nog daarna de door de gebruiker ingevoerde gegevens. De Engelstalige Wikipedia schrijft hierover: "The use of strong authentication tools simply creates an increased level of misplaced confidence on the part of both customer and bank that the transaction is secure.". "Misplaatst vertrouwen", daarmee lijkt mij het geheel voldoende vertaald en toegelicht. Paranoia, beveiliging op beveiliging etc. zoals hier door sommigen beschreven en gepropageerd is net zo goed misplaatst. Een beetje MiTB-aanval is redelijk kostbaar en niet rendabel indien uitgevoerd bij particulieren. Eén grote aanval bij de juiste multinational of overheid ligt veel meer voor de hand. Dit alles staat los van het idee om "pinnen" en internetbankieren van elkaar te scheiden, zoals andere banken dan ABN en RABO dat doen. Pinnen met kaart en pincode, internetbanieren met wachtwoord en authenticatiecode via token of SMS-tan. Het risico van diefstal van kaart en pincode is namelijk bij particulieren wel degelijk substantieel. Banken die zich richten op het bedrijfsleven en dit niet wensen aan te passen, kunnen het best en gemakkelijk door particulieren worden gemeden.

Auteur:	Empire [ zo 01 jan 2017 9:46 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
"The use of strong authentication tools simply creates an increased level of misplaced confidence ..." gaat over authenticatie. Als je eenmaal "binnen" bent, heb je het authenticatieproces succesvol doorlopen. Dan gaat het om de verificatie van de transactie. Daarbij heeft de Rabo Scanner (en voorheen de Random Reader) een belangrijke (MitM en MitB werende) rol te spelen. A penny saved is a penny earned.

Auteur:	BillGates [ di 03 jan 2017 10:52 pm ]
Berichttitel:	Re: SMS-TAN "kraakbaar"
Weer een variant op de Rabo-scanner oplichting waarbij de spaarrekening geplunderd werd, vanavond in Opgelicht. Zou bij ING nooit gebeurd kunnen zijn, niemand gaat zijn gebruikersnaam+wachtwoord afgeven. Niemand. Wel een fotootje van je bankpas. Ongevaarlijk toch? Zou ws. ook nooit gebeurd zijn als er een extra wachtwoord vereist was bij Rabo. "Mag ik ook uw wachtwoord hebben?". Niemand. http://opgelicht.avrotros.nl/hulp/oplic ... item/8809/ Genant trouwens hoe die Raboman enthousiast hun onveilige systeem uitlegt en verdedigt. Tunnelvisie. DNB: verplicht de Rabo 110% van de schade te vergoeden. AUB. Anders doen ze er niets aan. Moderator: kunt u dit topic niet verplaatsen? ING is veilig. Rabo en ABNAmro niet.

Pagina 2 van 3	Alle tijden zijn GMT + 1 uur [ Zomertijd ]
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/