image

ING negeert hoofdletters in wachtwoorden

woensdag 2 februari 2011, 14:04 door Redactie, 23 reacties

ING adviseert klanten om hoofdletters te gebruiken, maar hierop wordt niet gecontroleerd tijdens het inloggen. Een lezer van Webwereld ontdekte dat hij zowel met "WACHTWOORD" als "wachtwoord" kon inloggen. De bank laat op de eigen website weten: "Gebruik hoofdletters, kleine letters, cijfers en symbolen door elkaar. Gebruik altijd verschillende wachtwoorden voor verschillende diensten", zo blijkt uit de Google-cache. De bank heeft het advies inmiddels aangepast. Nu staat er: "Gebruik letters, cijfers en symbolen door elkaar."

Slecht idee
Volgens Frank van Vliet van Certified Secure zijn wachtwoorden sowieso een slecht idee voor het inloggen bij banken. Gebruikers kiezen over het algemeen eenvoudige wachtwoorden. Tweefactor-authenticatie, waarbij klanten voor het inloggen een calculator gebruiken, zou een betere oplossing zijn. Alle andere grote Nederlandse banken gebruiken dit systeem al.

Een woordvoerder van ING laat tegenover Webwereld weten dat het advies om grote en kleine letters te gebruiken raar is en dat de bank dit zal aanpassen. Ook benadrukt hij dat de bank er alle belang bij heeft om gebruikers te beveiligen en aan de eisen van de Nederlandse Bank te voldoen. "Maar goed je maakt een afweging tussen beveiliging en gebruiksgemak. En dat is waarom we bepaalde keuzes maken", legt de woordvoerder uit. Onlangs werd een soortgelijk probleem ook bij webwinkel Amazon ontdekt.

Reacties (23)
02-02-2011, 14:14 door Anoniem
Sommige mensen zeggen dat je geen sterk wachtwoord voor internetbankieren nodig hebt bij ING, omdat deze na 3x blokkeert.

Ze vergeten dan echter dat je wel twee pogingen kan doen en daarna kan wachten tot de ING klant zijn of haar wachtwoord weer goed heeft ingevoerd. En daarna kan je weer twee keer proberen.

Als de ING klant dus elke twee weken een keer inlogt, kan je (52/2)*2 is 52 wachtwoorden proberen per jaar, zonder dat de ING klant hier achter komt.

Bovendien kan je dit bij meerdere slachtoffers tegelijk doen (slachtoffers van het 'wachtwoordbeleid' van ING welteverstaan). Want we hebben het hier over Internet dus elk IP adres is een mogelijke aanvaller.
02-02-2011, 14:20 door Mysterio
Dit is echt bizar! Mijn webmail is dus beter beveiligd dan mijn bankgegevens!? Erg triest...
02-02-2011, 14:28 door Preddie
Dit klopt en was mij eerder ook al opgevallen ...... Voor mij persoonlijk was dit toen ook de reden om rekening op te zeggen
02-02-2011, 14:41 door Anoniem
Dit is echt *te* retarded. Waarom de hell werken die gasten met een wachtwoord? Kan toch echt niet meer anno 2011!
02-02-2011, 14:45 door Anoniem
ING doet aan tweefactorauthenticatie - je kan wel inloggen met slechts een wachtwoord, maar om daadwerkelijk iets met geld te kunnen doen worden er codes naar je mobiele telefoon gesmst. Ik ben persoonlijk al lang blij dat ik niet van een calculator afhankelijk ben om gewoon wat geld over te kunnen maken.
02-02-2011, 14:59 door Anoniem
Mooi man. En allemaal aan het internet bankieren. Wat dat zou zo veilig zijn...

Waarschijnlijk bedoelen ze dat het het hun minder geld kost waardoor de directie bonus weer wat dikker kan zijn. Toch?
02-02-2011, 15:21 door Anoniem
Als trouwe gebruiker van MijnPostbank en MijnING ben ik zeer tevreden met de gebruiksvriendelijkheid die enkel een gebruikersnaam en wachtwoord met zich meebrengt. Maar dit is echt absurd en heeft niets te maken met gebruiksvriendelijkheid. Als je als klant niet meer weet wat de hoofdletters in je wachtwoord zijn, dan moet je maar een nieuw wachtwoord aanvragen.
02-02-2011, 15:40 door Anoniem
"Maar goed je maakt een afweging tussen beveiliging en gebruiksgemak. En dat is waarom we bepaalde keuzes maken"

Het is inderdaad wel erg makkelijker om je wachtwoord alleen in kleine letters te typen. -_-
02-02-2011, 16:07 door Anoniem
WHAT! Dit is slecht:S Toen ik dit las testen ik het eens uit en jha hoor -.- Ben echt verbaast dat ING
Bank dit toelaat:S

Gaat ING Bank dit nog verandere? Zo niet moet ik dan maar een 100 teken wachtwoord nemen voor me veiligheid dus?
02-02-2011, 16:26 door Anoniem
Je kan met wachtwoord wel inloggen en gegevens inzien, maar voor een transactie moet je wel een code invoeren, dus dat gedeelte is wel redelijk veilig.
02-02-2011, 16:29 door Anoniem
Met letters, cijfers en speciale tekens, kan je nog wel een hoop goed beveiligde wachtwoorden maken dacht ik zo...
02-02-2011, 16:57 door Sijmen Ruwhof
Als een wachtwoord hoofdletter ongevoelig is, dan is dit een sterke aanwijzing dat de wachtwoorden niet gehasht worden opgeslagen in de database ...
02-02-2011, 17:46 door Anoniem
Goed punt @ Sijmen.

Of de wachtwoorden worden eerst geconvert naar hetzelfde lowercase formaat, en daarna gehashed.

Ik weet t zelf niet, maar dit stinkt
02-02-2011, 18:02 door Syzygy
Ik verbaas me over helemaal niets meer bij de ING
02-02-2011, 18:28 door Korund
Had ik speciaal het wachtwoord ohshee7EiJof gekozen, met hoofdletters, kleine letters en cijfers, is het weer niet goed.
02-02-2011, 20:12 door Syzygy
Door Carborundum: Had ik speciaal het wachtwoord ohshee7EiJof gekozen, met hoofdletters, kleine letters en cijfers, is het weer niet goed.
inderdaad, die hoofdletter 7 had net zo goed een kleine letter 7 kunnen zijn ;-)
02-02-2011, 22:52 door Anoniem
Tot nu toe vulde ik dus elke keer braaf de hoofdletters in.. *zucht*
03-02-2011, 11:33 door Anoniem
Gelukkig checkt de site wel of de gebruikersnaam goed is ingevuld. Daar worden hoofdletters dus wel "gezien". (gelukkig maar want mijn gebruikersnaam is namelijk net zo moeilijk als mijn wachtwoord)
04-02-2011, 07:47 door Anoniem
een wachtwoord van 100 tekens helpt niet
wachtwoorden worden op 20 tekens afgekapt
04-02-2011, 09:17 door Anoniem
Door Anoniem: Gelukkig checkt de site wel of de gebruikersnaam goed is ingevuld. Daar worden hoofdletters dus wel "gezien". (gelukkig maar want mijn gebruikersnaam is namelijk net zo moeilijk als mijn wachtwoord)

Nou of je daar zo gelukkig mee moet zijn? Iedereen binnen redelijk afstand kan je gebruikersnaam mee lezen, omdat deze in tegenstelling van je wachtwoord leesbaar is.
Verder is het opvissen van je nieuwe codes van de ING vrij gemakkelijk want ze worden door de ING naar je adres verstuurt in A vier enveloppe die nogal opvalt.
04-02-2011, 13:40 door Mysterio
En dan nu het antwoord van ING op mijn klacht over dit gebeuren:

Het gebruik van een wachtwoord om in te loggen op uw Mijn ING is echter zeer veilig. Daarnaast ervaren veel klanten het inloggen met inlogcodes als prettig, omdat zij hierdoor niet afhankelijk zijn van bijvoorbeeld een calculator. Graag lichten wij uiteraard het één en ander toe omtrent de veiligheid van Mijn ING.
Mijn ING is alleen met een gebruikersnaam en wachtwoord te benaderen. Elke combinatie van gebruikersnaam en wachtwoord is uniek. Bij het inloggen worden de codes gecontroleerd; alleen wanneer de combinatie goed is, kunt u inloggen.
En dan gaat het verder over https, e-mail en andere niet relevante zaken.

Kortom: geen plannen tot verbetering. Gebruikers ervaren het als prettig. Wederom kan ik me echter niet herinneren dat ooit naar mijn mening is gevraagd over dit specifiek verschijnsel.

Het gaat er trouwens niet om of er iemand iets met mijn geld kan doen, ik vind het wel prettig wanneer het niet zichtbaar is. Wellicht dat het veilig genoeg is, want na een aantal pogingen wordt het zooitje geblokkeerd.

Prettig... tsssk!!!
09-02-2011, 19:15 door Wisperbird
Ik wist dit niet, maar naar mijn mening zijn ze gewoon te eigenwijs en te lui.

Zij bepalen dat ik mijn wachtwoord moet veranderen (dacht dat ik eigen baas was), maar iets simpels als checken of het ingevoerde wachtwoord ook letterLIJK klopt, nee dat kan niet hoor dat ene bitje zal en moet vallen.
(het verschil tussen hoofd of kleine letter is slechts 1 bit).
09-04-2011, 17:12 door Anoniem
heb me nieuw wachtwoord goed ingesteld tekens geeft hij aan fout heb goed me caps lok staan telkens weer 5 dagen wachten op een nieuw wachtwoord balen ik denk dat ilk overstap na andere bank iedere keer klote met die wachtwoorden
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.