Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Is er nog sprake van veilig internetbankieren bij NIBC bank?

22-03-2013, 22:45 door Anoniem, 10 reacties
Ik heb mijn twijfels over het nieuwe veiligheidsbeleid van NIBC bij internetbankieren. Voldoet dit nog aan de criteria m.b.t. redelijk veilig internetbankieren?

Zie: https://www.nibcdirect.nl/service/veelgestelde-vragen/actueel/Wat-verbeterd-er-aan-de-bankomgeving

NIBC heeft het over, ik citeer: "Makkelijker en toch veilig inloggen!"

Kern van mijn twijfel zijn vooral de volgende tekstdelen op deze pagina:
- Hebben wij uw rekeningen geblokkeerd nadat u een aantal keer verkeerd heeft ingelogd? Dan deblokkeren wij de rekeningen automatisch als u een nieuw wachtwoord aanvraagt via de link 'wachtwoord vergeten?'.
- Als u uw wachtwoord wijzigt dan is het voortaan mogelijk om zowel het nummer van uw internetspaarrekening óf het nummer van de tegenrekening in te vullen.

Wat is jullie visie?
Reacties (10)
25-03-2013, 16:25 door [Account Verwijderd]
[Verwijderd]
26-03-2013, 11:06 door Anoniem
Ze benaderen een bank alsof het een webwinkel is, zo te zien. Ik zie logo's van 'Thuiswinkelwaarborg' en 'Verisign secured' op hun website staan. Ik vind dat niet goed genoeg voor een bank, die moet in plaats van te voldoen aan een automatische scan kunnen laten zien dat ze speciaal op hun gerichte penetratietests kunnen doorstaan. Door in plaats van daarmee met dit soort logo's te pronken geven ze in mijn ogen de boodschap af dat ze het belang van een extra sterke beveiliging bij een bank, en hun verantwoordelijkheid, niet begrepen hebben daar.

Verder zou ik niet eens willen bankieren bij een bank die tweefactorauthenticatie als optie in plaats van als verplichting biedt (denk aan die bank die recent in het nieuws was waar aanvallers erin slaagden de tweefactorauthenticatie uit te schakelen en vervolgens rekeningen te plunderen), laat staan bij een die het in het geheel niet biedt. De veiligheid van mijn geld gaat echt ver boven dat kleine ongemak van een calculatortje moeten gebruiken.
26-03-2013, 11:41 door Anoniem
ook deze vind ik gek, iemand kiest meestal bewust voor onthouden van het wachtwoord, maar niet uit security oogpunt, alleen uit gemak.

'Vindt u het handig dat het systeem uw gebruikersnaam onthoudt? Dan geeft u dat aan in het inlogscherm. De optie voor het onthouden van de gebruikersnaam staat namelijk standaard op ´uit´. U kiest dus zelf bewust voor automatisch onthouden of niet.'

het verhaal lijkt mij niet heel sterk,

ook staat hier nog een leuk stukje onder 'wat kunt u zelf doen om de veiligheid te verhogen'. daar staat dat je bij een onbekende melding op 'nee' moet klikken als je niet weet wat voor melding het is. we weten allemaal dat 'nee' net zo goed 'ja' kan zijn. kruisje is the way to go, mits het geen plaatje is.
https://www.nibcdirect.nl/service/veilig-bankieren/
26-03-2013, 12:11 door Roflstomp
Lijkt me veilig. Bij ING werkt het net hetzelfde , je moet als controle nog steeds je kaartlezer gebruiken.
Het is dus geen link of wachtwoord dat je via mail verstuurd krijgt zoals de vorige meneer dacht. (zou wel heel erg dom zijn van de bank)
26-03-2013, 12:29 door NIBC Direct
Het wijzigen van uw wachtwoord is straks gebruikersvriendelijker dan voorheen, maar nog net zo veilig. Internetbankieren bij NIBC Direct is opgebouwd rond meerdere controle- en veiligheidsmaatregelen. Hierdoor hoeft u zich geen zorgen te maken over uw spaargeld.
26-03-2013, 14:52 door Preddie
Persoonlijk vind het moeilijk om direct iets over de algehele veiligheid van het systeem te zeggen. Ik denk dat we ons daarom moeten beperken tot het authenticatie mechanisme.

Hebben wij uw rekeningen geblokkeerd nadat u een aantal keer verkeerd heeft ingelogd? Dan deblokkeren wij de rekeningen automatisch als u een nieuw wachtwoord aanvraagt via de link 'wachtwoord vergeten?'.

Onduidelijk is hoe en waar het wachtwoord heen wordt verzonden, als dit middels de post gebeurt lijkt me hier niks mis mee. Wanneer men die naar een email adres stuurt denk ik dat je iets meer risico loopt in vergelijking met de post. Maar nogmaals hier vind ik geen duidelijkheid over op de aangegeven pagina.

Als u uw wachtwoord wijzigt dan is het voortaan mogelijk om zowel het nummer van uw internetspaarrekening óf het nummer van de tegenrekening in te vullen.

Wat ze hiermee bedoelen is voor mij een raadsel, misschien dat iemands anders een idee heeft wat NIBC hiermee bedoeld.

Vindt u het handig dat het systeem uw gebruikersnaam onthoudt? Dan geeft u dat aan in het inlogscherm. De optie voor het onthouden van de gebruikersnaam staat namelijk standaard op ´uit´. U kiest dus zelf bewust voor automatisch onthouden of niet.

Persoonlijk heb ik nooit begrepen waarom dit soort opties bestaan, natuurlijk begrijp ik dat het gemakkelijk is voor de gebruiker. Kort gezegd wanneer je gebruikersnaam bekend is heb je nog één ontbrekende variabele nodig,namelijk; het wachtwoord. Wanneer beide gegevens onbekend zijn voor een potentiële aanvaller dan is het een grotere uitdaging om toegang te krijgen tot een account. Voor de duidelijkheid, dit is een opmerking in het algemeen een heeft geen directe betrekking op het topic

off-topic:
Ik vind het opmerkelijk dat de gehele rekening geblokkeerd wordt nadat meerdere malen het wachtwoord is ingegeven, het lijkt me logisch dat toegang middels internet dan wordt geblokkeerd maar ik zie zo snel even niet waarom de gehele rekening geblokkeerd zou moeten worden. Wellicht dat internet hierbij het enige medium is waarmee je rekening zou kunnen aansturen. Maargoed, dit zou natuurlijk ook een ongelukkige woordkeuze van het NIBC kunnen zijn.

Tot slot, aan dit soort reacties kan ik me wel een beetje storen:
Het wijzigen van uw wachtwoord is straks gebruikersvriendelijker dan voorheen, maar nog net zo veilig. Internetbankieren bij NIBC Direct is opgebouwd rond meerdere controle- en veiligheidsmaatregelen. Hierdoor hoeft u zich geen zorgen te maken over uw spaargeld.

Volgens mij moet je je ten alle tijden in meer of mindere mate zorgen maken over je spaargeld en de veiligheid daarvan. Ongeacht de bank en de wijze van bankieren, dit zorgt ervoor dat je scherp blijft en kan in sommige gevallen een boel narigheid voorkomen, zowel voor de bank als voor jou zelf. Wees je bewust van de risico's en neem deze wel overwogen, internetbankieren brengt nu eenmaal wat extra risico met zich mee en het is aan jou persoonlijk of deze risico's opwegen tegen de voordelen die het bied. De deelnemen aan het verkeer brengt ook risico's, maar wanneer jij van punt A naar B wilt zul je deze risico's moeten nemen. Om te voorkomen dat er een incident gebeurt kun je maatregelen nemen om het risico daartoe te beperken, zoals om je goed je heen kijken voordat je de straat oversteekt, een gordel om doen in de auto, in het donker met verlichting aan rijden enz. enz. Ondanks al deze maatregelen ben je niet gevrijwaard van een incident. Immers 100% veiligheid bestaat niet
26-03-2013, 16:14 door AcidBurn
Ik vind het echt geen strak gevoel dat mijn bank per e-mail een nieuw wachtwoord kan toezenden (of een link om dit te wijzigen). Email kan onderschept worden en als dat in combinatie met mijn username toegang geeft tot alle financiële zaken, sorry - daar pas ik voor.
26-03-2013, 18:43 door Anoniem
Door Predjuh:
Als u uw wachtwoord wijzigt dan is het voortaan mogelijk om zowel het nummer van uw internetspaarrekening óf het nummer van de tegenrekening in te vullen.

Wat ze hiermee bedoelen is voor mij een raadsel, misschien dat iemands anders een idee heeft wat NIBC hiermee bedoeld.

Bij een internetspaarrekening is het soms mogelijk (of verplicht) om een of meer vaste tegenrekeningen op te geven.
Je kunt dan alleen overboeken naar die rekeningen. Dat is in principe een extra veiligheid omdat de hacker die jouw
password weet wel kan overboeken maar niet naar zijn eigen rekening, alleen naar een van die opgegeven rekeningen.
Dat is natuurlijk je eigen betaalrekening. Dus hij kan wel je spaargeld wegsluizen maar dan staat het daarna op je
betaalrekening, waar je zelf de controle over hebt.
Als die OOK gehacked is helpt dat natuurlijk niet, maar vaak zal die rekening bij een andere bank lopen, en op een
andere manier beveiligd zijn.
(je komt dit als verplichting vooral tegen bij banken die zelf geen betaalrekeningen voor consumenten voeren maar wel
spaarrekeningen aanbieden. maar ook binnen de klassieke banken heb je dit soort koppelingen, bijvoorbeeld bij
de Postbank (nu ING) had je al de mogelijkheid om een spaarrekening te openen die alleen naar je eigen postbank
rekening kan overboeken lang voordat er zelfs internet voor de consument was)
01-04-2013, 09:33 door Anoniem
+10 voor Predjuh!
De enige veiligheid is de kleine vector, dat wil zeggen de relatieve onbekendheid bij aanvallers en de kleine hoeveelheid klanten. Kijk bijvoorbeeld anders eens bij Triodos.nl als je een "kleine" bank zoekt.


Door NIBC Direct: Het wijzigen van uw wachtwoord is straks gebruikersvriendelijker dan voorheen, maar nog net zo veilig. Internetbankieren bij NIBC Direct is opgebouwd rond meerdere controle- en veiligheidsmaatregelen. Hierdoor hoeft u zich geen zorgen te maken over uw spaargeld.
Maar als het fout gaat moet ik WEL aan kunnen tonen dat ik dat gedaan heb?

Wat is dat in hemelsnaam voor uitspraak? "Nothing to see here people, move along!"
01-04-2013, 17:36 door Anoniem
Door Anoniem:
Door NIBC Direct: Het wijzigen van uw wachtwoord is straks gebruikersvriendelijker dan voorheen, maar nog net zo veilig. Internetbankieren bij NIBC Direct is opgebouwd rond meerdere controle- en veiligheidsmaatregelen. Hierdoor hoeft u zich geen zorgen te maken over uw spaargeld.
Maar als het fout gaat moet ik WEL aan kunnen tonen dat ik dat gedaan heb?

Wat is dat in hemelsnaam voor uitspraak? "Nothing to see here people, move along!"
Dit is hoe banken werken. "Gaat u maar slapen, er is niets aan de hand."

En gaat er wat mis, dan ben je het haasje. Aangezien je als klant geen keus hebt zonder bank te werken ben je ondertussen voor het bankwezen expendable. Daar is het bankwezen overigens niet uniek in.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.