Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Hoe veilig is mobiel bankieren?

30-12-2013, 09:03 door Anoniem, 46 reacties
Als ik langere tijd van huis ben neem ik altijd mijn laptop mee, o.a. om te internetbankieren. Nu heb ik sinds kort een (Android) tablet, moet ik weer weg, en denk ik er over mijn laptop thuis te laten. Ik keek naar de ING mobielbankieren app en zag dat de enige beveiliging een 5-cijferige pincode is.

Op de laptop vraagt ING een wachtwoord van minimaal 8 tekens dat bestaat uit een keuze uit 70 tekens (hoofd en kleine letters, cijfers en leestekens). Iedereen op dit forum weet dat deze eis is om decrypten moeilijk te maken, mocht het geëncrypte wachtwoord onverhoopt in verkeerde handen vallen.

Een wachtwoord van 8 tekens is 10 miljard keer moeilijker te kraken dan een pincode van 5 cijfers. Als de kraker bovendien moet aannemen dat een wachtwoord uit meer dan 8 tekens kan bestaan, is het aantal mogelijke wachtwoorden nog vele machten van 10 groter dan 10 miljard, terwijl het aantal 5-cijferige pincodes precies honderdduizend is.

Mijn vraag aan dit forum is: waarom kunnen we aannemen dat mobielbankieren veilig is, of anders, waarom moeten we bij internet bankieren zulke moeilijke wachtwoorden gebruiken?
Reacties (46)
30-12-2013, 10:01 door Anoniem
Erger nog, je hebt bij internet bankieren bij ING tenminste nog een TAN code nodig om betalingen uit te voeren als men al het wachtwoord heeft weten te kraken.
Echter, bij de ING app moet je DEZELFDE pincode om in te loggen ook gebruiken om te betalen...

Ik heb nog nooit begrepen dat daar geen gigantische ophef is over ontstaan...
30-12-2013, 10:11 door Anoniem
De bank bepaalt wat zij veilig genoeg vinden. Je moet daar als klant maar akkoord mee gaan of anders naar een
andere bank gaan. Je kunt niet zeggen "ik vind 5 cijfers te weinig" want dat gaan ze niet aanpassen.
Wel stellen ze zelfbepaalde eisen aan jouw PC of ander toegangsmiddel, bijvoorbeeld dat er een virusscanner op
moet staan en dat je geen illegale software mag hebben. Dan kun je ineens niet zeggen "ik vind een Linux systeem
zonder virusscanner veilig genoeg", waar de bank wel kan zeggen "wij vinden 5 cijfers wel genoeg" of "we gaan een
nieuwe dienst invoeren om je wachtwoord per SMS op te vragen".

Dit is uiteraard een heel scheve situatie, maar als klant ben je de zwakke partij en de bank kan doen wat ze wil.
Immers waar er wel eisen aan de gebruiker zijn, eisen aan de bank zijn er niet.
30-12-2013, 10:13 door Euro10000
Achter je wachtwoord komen is heel simpel, elke software die jij installeert kan dit opslaan, en opsturen naar elk ander pc.

Denk dat je iets meer moet gaan lezen over beveiligen van pc/tablet/telefoon, want het is allemaal hetzelfde.

Voorbeeld.
Leuker is dat jij je wachtwoorden ingeeft, aan de hacker geeft, en deze naar de bank gaat, en natuurlijk meer overboekt, en aan jouw alleen de overboekingen van jezelf laat zien, dit natuurlijk zonder dat jij dit merkt, dus je wachtwoord is hierbij waardeloos.
30-12-2013, 10:14 door Anoniem
De claim dat het veilig is staat, hoe dan ook op lossen schroeven. Dus laat me je uit je waanbeeld halen.

Internet bankieren is niet veilig. Alleen we doen het omdat gemak de samenleving dient. Mijn tip wel gezien android een wat meer open platform is om toch je laptop mee te nemen. Dit ivm dat er momenteel android malware de rondte gaat die je tan code smsjes onderschept, via een android device.

Ik ben geen klant bij ING. Maar als je b.v. een iPhone als telefoon hebt waar je, je tan codes op ontvangt, is dat veiliger dan als je daar momenteel een android toestel voor gebruikt.

De mogelijke reden dat er voor mobiel internet bankieren een minder complex wachtwoord mogelijk is, omdat bij de ABN app deze na 3 pogingen al blockeerd. Waarbij Internet bankieren via laptop, je meer mogelijkheden hebt om het te proberen. Voor je definitief uit het systeem gegooid word.

Tevens heb jij al eens geprobeerd een complex wachtwoord van 16 character op een telefoon in te type ;)
30-12-2013, 10:26 door SPlid
Volgens mij, en dat uitgaande van de policies bij de ABN-AMRO, kun je alleen geld overmaken van je eigen spaarrekening naar je eigen lopende rekening en vice versa + geld over maken naar bekende rekeningen + overzicht van transacties. Het is dus met de 5 cijferige code dus niet mogelijk om geld over te maken naar een onbekende rekening, hierdoor wordt volgens mij het risico aanzienlijk beperkt .
30-12-2013, 10:43 door Anoniem
Een aardige vraag. De lengte en moeilijkheidsgraad van je wachtwoord is een afweging tussen gemakkelijk je wachtwoord kunnen invoeren en hoe moeilijk het is het wachtwoord te kraken. Kraken zowel in de zin van bruut proberen (eg de vele ssh probeerlogins die iedere beheerder in z'n logfiles kan terugvinden) als in de zin van hashes door een kraakprogramma te jagen. Wat nu het inherente verschil is tussen een tablet en een peecee? In technisch wachtwoordopzicht niet zo gek veel. Zoals terecht opgemerkt, een keylogger wordt niet warm of koud van een kort of een lang wachtwoord.

Het heeft dus niet zo gek veel met werkelijke veiligheid te maken, meer met hoeveel irritatie de eisensteller denkt te moeten opleggen aan de gebruiker, die zich dan uit irritatie veiliger gaat voelen. Aangezien zelfs volgens onze ministers veiligheid een gevoel is, is irritatie dus goed. Vanwaar dan dat frappante verschil in lengte tussen peecee en tablet? Kennelijk een verschillende inschatting van "irritability".

Raar? Op het eerste gezicht wellicht, maar je moet even bedenken dat banken niet zo veel kaas gegeten hebben van electronica, van computers, of van computernetwerken. Wel van kosten- en batenrekeningen, van kansrekening, en van dat oh zo belangrijke veilige gevoel verkopen aan de klant. Dat is wat er gebeurt. Als je het technisch veilig wil hebben, moet je niet bij de bank zijn.

Overigens was "hacking" altijd iets waar je behoorlijke kennis van en kunde met technologie moest bezitten, naast een flinke dosis creativiteit -- gebrek aan scrupules was geen eis totdat de media en de "computerbeveiligers" om de hoek kwamen kijken--, maar als ik Euro10000 mijn logingegevens verstrek en hij maakt er gebruik van noemt'ie zichzelf al "hacker". Knap hoor.
30-12-2013, 10:45 door Anoniem
ik weet niet hoe het zit met ing maar bij de rabobank wordt je telefoon gekoppeld aan de rekening, en daardoor moeten ze dus als eerste je telefoon hebben, nu neem ik aan dat als je een bank app op je telefoon hebt dat je ook nog een pincode op je telefoon zelf hebt zitten, en zoals hierboven staat kan je alleen tussen je eigen rekening zonder extra verificatie geld overmaken

als je dan ook nog oplet dat je zelf niet via onbeveiligde wifi netwerken gaat proberen in te loggen op de bank, zit naar mijn idee de beveiliging wel goed in elkaar

weet alleen niet wat er gebeurt met de app als je bijvoorbeeld 3 keer het verkeerde password ingeeft
30-12-2013, 10:47 door Anoniem
Zowel de ING App als de website blokkeren je account na 3 foute pogingen
30-12-2013, 11:05 door Anoniem
Door SPlid: Volgens mij, en dat uitgaande van de policies bij de ABN-AMRO, kun je alleen geld overmaken van je eigen spaarrekening naar je eigen lopende rekening en vice versa + geld over maken naar bekende rekeningen + overzicht van transacties. Het is dus met de 5 cijferige code dus niet mogelijk om geld over te maken naar een onbekende rekening, hierdoor wordt volgens mij het risico aanzienlijk beperkt .

Als ik (starter van deze thread) hier kijk: http://www.ing.nl/particulier/mobiel/overzicht-mobiel-bankieren-app.aspx zie ik niet dat ING het onmogelijk maakt om bijvoorbeeld met IDEAL een willekeurig (hoog) bedrag te betalen, of naar een willekeurige Europese rekening geld te storten. Dus mobiel bankieren bij ABN-AMRO zou veiliger zijn dan bij ING?

Een veiligheidsmaatregel zou kunnen zijn dat de pincode vast aan een uniek apparaat-identificatienummer gekoppeld wordt. GSM telefoons hebben een unieke ID: hun IMEI nummer. Hebben tablets ook zo iets? Als de bank een koppeling van pincode met uniek apparaat ID zou maken, dan zou elke mobieltje en tablet apart aangemeld moeten worden. Ik heb op de website van ING niets gelezen dat daar op wijst. Weet iemand hier iets meer van?
30-12-2013, 11:16 door Anoniem
ABN amro laat je betalingen doen via de app naar bankrekeningen waar je eerder geld aan overmaakte waar je WEL eerst je e-dentifiër voor gebruikt hebt, daar naast moet je tijdens de eerste configuratie van de app aangeven hoeveel geld er max. overgeschreven mag worden.
30-12-2013, 11:34 door Briolet
Door Anoniem:Mijn vraag aan dit forum is: waarom kunnen we aannemen dat mobielbankieren veilig is, of anders, waarom moeten we bij internet bankieren zulke moeilijke wachtwoorden gebruiken?

Het verschil is dat je met internet bankieren een browser gebruikt waar je allerlei plugins kunt installeren en die ook besmet kan geraken omdat je kort daarvoor met de browser een besmette site bezocht hebt.

Bij mobiel bankieren werk je met een app die door de bank gemaakt is en alleen contact met de bank onderhoud. Die zal ook kraakbaar zijn, maar de meest voorkomende bemettingsbronnen zoals java, flash etc heeft de bank nu in eigen hand. Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.
30-12-2013, 12:03 door Anoniem
Door Briolet: Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.

Inderdaad, als browser versus eigen app het grote verschil tussen computer en telefoon/tablet in veiligheidsmaatregelen verklaart, dan is het onbegrijpelijk dat de banken niet allang met een PC/Mac/Linux app gekomen zijn. Omdat ze dat nog niet gedaan hebben, lijkt het me niet uitgesloten dat er nog meer verklaringen zijn dan alleen browser versus app.
30-12-2013, 12:15 door Euro10000
Door Briolet:
Door Anoniem:Mijn vraag aan dit forum is: waarom kunnen we aannemen dat mobielbankieren veilig is, of anders, waarom moeten we bij internet bankieren zulke moeilijke wachtwoorden gebruiken?

Het verschil is dat je met internet bankieren een browser gebruikt waar je allerlei plugins kunt installeren en die ook besmet kan geraken omdat je kort daarvoor met de browser een besmette site bezocht hebt.

Bij mobiel bankieren werk je met een app die door de bank gemaakt is en alleen contact met de bank onderhoud. Die zal ook kraakbaar zijn, maar de meest voorkomende bemettingsbronnen zoals java, flash etc heeft de bank nu in eigen hand. Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.

Eigen app of software werkt ook niet, dit wordt ook gehackt.

Enigste wat helpt is een aparte apparaat, voor alleen internet bankieren, en niks anders geïnstalleerd.
Met tegenwoordig de zeer kleine computers is dit allang mogelijk.
Wel raar dat de bank zoiets niet goedkoop aanbied, zodat internet bankieren zeer veilig wordt.
30-12-2013, 12:16 door Anoniem
Met die laatste opmerking ben ik van harte eens!
Waarom geen RABO-App of ING-App voor windows? Of zijn de banken bang dat ze op die manier teveel risico naar zich toe halen?
30-12-2013, 13:46 door Anoniem
Even een kleine aanvulling.
Voordat je de ING app (voor iOS) kunt gebruiken is er authenticatie process. Zover als ik mij kan herinneren wordt de app voor een gebruiker aan een toestel gekoppeld. (http://www.ing.nl/particulier/mobiel/apple/mobiel-bankieren-voor-iphone-en-ipad/) Het is dus niet alleen een PIN code die voor de veiligheid zorgt. Die koppeling maakt het volgens mij wel een sterker dan een lang wachtwoord omdat je een hardware apparaat hebt (eventueel met eigen OS level wachtwoord) en een PIN.
30-12-2013, 14:01 door Anoniem
De mobiele app van ING is gekoppeld aan jouw telefoon. Een misbruiker van jouw code zal ook jouw telefoon moeten gebruiken (een andere/nieuwe telefoon of tablet toevoegen vereist een aantal stappen waaronder het ontvangen van een SMS TAN code en het inloggen op de website). Daarnaast zijn de transacties van de mobiele app beperkt en kan je zelf aangeven wat de daglimiet is voor het gebruik van de mobiele app.
30-12-2013, 14:37 door Duck-man
Stel Android is van een bedrijfje die er om bekent staat gegevens van zijn gebruikers te achter halen. En stel verschillende app makers bieden gratis (of betaalde) apps die voor namelijk als doel hebben jij persoonlijke informatie te achter halen. En stel dat internet bankieren persoonlijke informatie bevat. Stel je deze vragen en denk hier eens een tijdje over na en stel dan nog eens aan je zelf de vraag is bankieren via een app veilig?
Maar goed het is natuurlijk niet zo interessant om te weten hoeveel geld jij op je rekening hebt en wat voor betalingen jij allemaal doet. Er is vast geen hond in geïnteresseerd.
30-12-2013, 16:10 door Anoniem
Vergeet niet dat het pincode weten + het apparaat in je handen hebben is.
Dat is 2 factor, niet 1 factor.
30-12-2013, 16:27 door Anoniem
Het wachtwoord geeft je alleen toegang geeft tot informatie. Om geld over te maken heb je (bij ING) nog altijd een TAN nodig bij internet bankieren. Maar dat verklaard nog steeds niet het verschil helemaal. Via je browser kan je zoveel geld overmaken als je wilt/hebt, bij mobiel bankieren zit er een maximum op per dag.
Waarom accepteer je een 4 cijferige PIN code op je pinpas, terwijl je met je pinpas meer geld mag opnemen dan met je mobiel bankieren. Dat terwijl je beide even makkelijk kan verliezen en fysiek geld moeilijker te traceren is dan een bedrag wat je op een andere rekening overmaakt.

Het gaat allemaal over risico vs gebruiksgemak. Hoe hoog is het risico dat mensen een 4 cijfigere PIN code opschrijven? blijkbaar lager dan bij een 5 cijferige code. Hoe hoog is het risico dat je niet merkt dat je telefoon gestolen is en dat iemand binnen 4~5x de juiste code weet te raden: blijkbaar hoog genoeg om een dag maximum in te stellen, ook omdat niet iedereen zijn telefoon/tablet wil/kan beveiligen tegen ongeautoriseerd gebruik.

Waarom gebruikt de ene bank SMS codes terwijl een ander je een lijst van codes stuurt of je forceert een apparaatje (token/kaarlezer etc) te gebruiken.

Met andere woorden: mobiel bankieren is blijkbaar veilig genoeg tot een bepaald bedrag. Jij kan je geld nog beter beschermen door codes niet op te schrijven, een wachtwoord op je mobiel/tablet te zetten en een VPN tunnel gebruiken als je op een pulic hotspot zit.
30-12-2013, 16:44 door Sith Warrior - Bijgewerkt: 30-12-2013, 16:46
Door SPlid: Volgens mij, en dat uitgaande van de policies bij de ABN-AMRO, kun je alleen geld overmaken van je eigen spaarrekening naar je eigen lopende rekening en vice versa + geld over maken naar bekende rekeningen + overzicht van transacties. Het is dus met de 5 cijferige code dus niet mogelijk om geld over te maken naar een onbekende rekening, hierdoor wordt volgens mij het risico aanzienlijk beperkt .

Dit geld niet voor bijvoorbeeld ING. Sterker nog die hebben in hun laatste versie van hun apps zelfs een aanpassing gedaan, dat je het limiet bedrag wat je per dag kunt overmaken met de app nu in de app zelf kan verhogen.

En je kunt met nieuwste wijziging ook naar IBAN overmaken, dus naar elke bank in Europa kun je geld wegstorten. Ook dit komt in mijn ogen de security niet ten goede..
30-12-2013, 17:27 door Anoniem
Door Briolet: Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.
Rabobank heeft een windows 8 app. Dan nog, zo'n app is door een beetje hacker natuurlijk zo te kraken.
30-12-2013, 18:00 door Anoniem
Door Anoniem:
Een veiligheidsmaatregel zou kunnen zijn dat de pincode vast aan een uniek apparaat-identificatienummer gekoppeld wordt. GSM telefoons hebben een unieke ID: hun IMEI nummer. Hebben tablets ook zo iets? Als de bank een koppeling van pincode met uniek apparaat ID zou maken, dan zou elke mobieltje en tablet apart aangemeld moeten worden. Ik heb op de website van ING niets gelezen dat daar op wijst. Weet iemand hier iets meer van?

Dit heeft de ING wel maar dat hoef je niet zelf te beheren.
Als je telebankiert bij de ING dan weten ze je 06 nummer en kennelijk hebben ze een overeenkomst met de telecom
providers dat die bij deze 06 nummers behorende IMEI nummers naar de bank sturen.
(heb ik nooit akkoord voor gegeven, maar goed...)
Als je wisselt van 06 nummer maar hetzelfde IMEI nummer houdt dan is er niks aan de hand. Wissel je van IMEI
nummer maar niet van 06 nummer dan is er ook niks aan de hand.
Echter als je zowel van 06 nummer als van IMEI nummer wisselt in een keer dan wordt je telebankieren geblokkeerd
en moet je eerst opnieuw via een brief waarin een wachtwoord staat opnieuw authenticeren.

Dit is gedaan om te voorkomen dat iemand die je usernaam/wachtwoord weet de TAN code functie naar een ander
nummer kan overzetten. Maar als je zelf een ander nummer neemt of een andere telefoon dan is er niks aan de
hand.
30-12-2013, 20:58 door Anoniem
Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.

Misschien wordt het in ieder geval eens tijd dat betreffende apps door een reverse engineer worden bekeken op veiligheid en vooral op privacy & (verborgen) trackers. Wat doet de banking software nu echt op je tablet, telefoon (of pc)?

Op je pc kan je je privacy beheer nog een beetje in goede banen leiden met plugins en een firewall.
Met een app wordt dat een stuk moeilijker, reken maar dat het niet helemaal voor niets is dat banken een banking app aanbieden. Extra (data) verdienmodel erbij?
Wordt het niet eens tijd voor duidelijk uitsluitsel?

Vrije keuze s.v.p. ; het is uiteindelijk aan de klant om wel of niet te accepteren met een app te bankieren, en het is goed dat de klant nu nog de keus heeft te kiezen voor bankieren met een reguliere pc browser, dus niet te willen bankieren met een app of een aangesloten usbgadget waarvan je nog steeds niet weet wat het werkelijk doet op je pc.
Gebruikers dwingen een app of usbapparaat te gebruiken lijkt me geen optie als niet duidelijk is wat het doet en of je daarmee expliciet (al dan niet blind) akkoord bent.

Het laatse woord is er niet over gezegd, het eerste ook niet, neem ook eens de moeite in de historie op deze site te zoeken.
Hier nog een voorbeeld discussie over veiligheid met een interessante bandbreedte (techniek tegenover privacy), voor wie deze bijvoorbeeld gemist had.
https://www.security.nl/posting/363206/ABN+Amro+Android+app+vraagt+root+toegang+na+update+uit+de+Play+Store
30-12-2013, 23:13 door Anoniem
beste is gewoon je internet abonnement opzeggen en je mobile telefoon ook.
en gewoon alles persoonlijk en per brief doen. zonder technologie.... :p en dan maar opletten of je pinpas niet gejat word
31-12-2013, 02:36 door Anoniem
ING app maakt gebruik van twee encryptie lagen. HTTPS en SRP. Als eerste communicatie moet je bank account registreren. Dit wordt gedaan op HTTPS. Na het registreren zal tussen de bank en de mobiel keys uitgewisseld worden om SRP laag veilig te maken. Daarna stel je 5 cijverige code in. En kan je gebruiken.

5 cijverige code is niet mega veilig. Maar wat je merkt is dat je voor SRP verbinding keys nodig hebt. En die heeft een aanvaller ook nodig. Behalve als de aanvaller je apparaat zelf in handen heeft.

In het verleden is gebleken dat de HTTPS laag niet goed gecontroleerd werd waardoor een aanvaller deze laag kon disablen. Gelukkig werd door SRP laag nog veilig. Deze aanval kon alleen het registratie kipnappen.

Bron: http://tweakers.net/nieuws/80816/mobielbankieren-app-ing-controleerde-ssl-certificaat-bank-niet.html
31-12-2013, 06:39 door Anoniem
Zowel ABN AMRO als ING hebben apps voor android en IOS. ING heeft ook een Windows(-phone) 8 app.

Als je al een android-/IOS-tablet hebt geregistreerd en pincode hebt en je koopt een andere android-/IOS-tablet erbij en installeert de bank app dan:

ING verzoekt je om in te loggen op een desktop-pc en daar een authentificatie proces voor het tablet te doorlopen. Dan kun je ook voor dat tablet een pincode kiezen.

ABN AMRO is m.i. het meest onveilig. Als je een nieuwe android tablet hebt en je installeert de app, die je al op je andere tablet hebt, kun je zonder problemen met bankrekeningnummer en je vijf-cijferige pincode direct inloggen en alles doen !
31-12-2013, 08:18 door Anoniem
Wat ik me wel afvraag betreffende deze apps van de verschillende banken is het volgende:
Hoe gaan ze om met de nieuwe regels voor internetbankieren waarbij ze een groot deel van de verantwoordelijkheid (deels ook wel logisch) bij de gebruiker leggen? Zie: https://www.security.nl/posting/370459/

Gebruikers die puur en alleen apps uit de playstore halen downloaden geen illigale software maar maken toch een behoorlijke kans op een besmet device met alle risico's van dien....
31-12-2013, 10:57 door Anoniem
Ik begon (anoniem) deze thread met de vraag hoe veilig is mobiel bankieren? Velen hebben geantwoord, mijn dank daarvoor.

Sommige antwoorden waren relevanter dan andere, maar in totaal ben ik ervan overtuigd geraakt dat mobiel bankieren (met speciale app op smartphone of tablet) niet onveiliger is dan internet bankieren (met browser op laptop of desktop).

Speciaal de volgende antwoorden (die ik verkort weergeef en wat bewerkt heb) hebben mij overtuigd:

Voordat je de ING app kunt gebruiken is er een authenticatie proces. De app wordt aan een toestel gekoppeld. (http://www.ing.nl/particulier/mobiel/apple/mobiel-bankieren-voor-iphone-en-ipad/) Het is dus niet alleen een PIN code die voor de veiligheid zorgt. Die koppeling is veiliger dan een lang wachtwoord omdat je een hardware apparaat hebt en een PIN.

De mobiele app van ING is gekoppeld aan jouw telefoon. Een misbruiker van jouw code zal ook jouw telefoon moeten gebruiken. (De authenticatie van een andere of nieuwe telefoon of tablet vereist een aantal stappen waaronder het ontvangen van een SMS TAN code en het inloggen op de website).

De ING app maakt gebruik van twee encryptie lagen. HTTPS en SRP (secure remote password control). Als eerste communicatie moet je je bankrekening registreren. Dit wordt gedaan via HTTPS. Na het registreren worden tussen de bank en de mobiel (cq. tablet) keys uitgewisseld om de SRP laag veilig te maken. Daarna stel je pas je 5-cijferige pincode in.
.
31-12-2013, 11:04 door Anoniem
Door Anoniem: De mobiele app van ING is gekoppeld aan jouw telefoon. Een misbruiker van jouw code zal ook jouw telefoon moeten gebruiken (een andere/nieuwe telefoon of tablet toevoegen vereist een aantal stappen waaronder het ontvangen van een SMS TAN code en het inloggen op de website). Daarnaast zijn de transacties van de mobiele app beperkt en kan je zelf aangeven wat de daglimiet is voor het gebruik van de mobiele app.

Bij het gebruik van de ING APP op een tablet heb je (na eenmalige TAN voor installatie) alleen nog maar één pincode nodig voor zowel het aanmelden als het betalen! Ik krijg nooit een vraag naar een TAN code als ik via die APP op mijn tablet betaal en ik kan tot 2000 EUR per dag overschrijven via die APP...
Dus gewoon schandalig. Het is dat ik mijn eigen tablet ge-encrypt heb en met een wachtwoord voorzien heb, plus op de APP zelf nog een extra wachtwoord protectie heb gezet, anders zou ik het nooit gebruiken...
31-12-2013, 11:04 door Anoniem
Bij een app weet je nog minder wat er gebeurt dan bij een browser. Veel apps lekken of roven je data. En een mobiele telefoon is sowieso zo lek als een mandje. Ik zou altijd een voldoende beveiligde browser gebruiken, op een computer die je *niet* óók gebruikt op open wlan's (trein, vliegveld, winkelcentrum etc etc).
31-12-2013, 13:44 door Anoniem
Op http://www.mountknowledge.nl/2011/11/13/ing-mobiel-bankieren-android-app/ staat beschreven hoe een android apparaat veilig ingesteld moet staan voor de ING mobielbankieren app. Op mijn Nexus 7 staat alles standaard goed, d.w.z.
1. Instellingen->Beveiliging->Onbekende bronnen: geen vinkje.
2. Instellingen->Opties voor ontwikkelaars->Autorisatie voor usb-foutopsporing: geen vinkje
(Opties voor ontwikkelaars is standaard niet zichtbaar, moet expliciet aangezet worden).
01-01-2014, 14:09 door Anoniem
Het veiligst: niet aan internetbankieren beginnen.
Hier zijn de redenen:
http://tinyurl.com/kpgsyqw
http://tinyurl.com/a7xeh5m
Zeer benieuwd of de redactie deze in intact laat
in het nieuwe jaar.
02-01-2014, 09:45 door Anoniem
Het veilig/niet veilig zijn van mobile banking komt geheel te liggen op de aanwezigheid van Mules (mensen die gebruikt worden om gestolen geld 'wit' te wassen) en kosten.

Studie wijst uit dat voor elke 100 (bij gebrek aan beter woord) 'gehackte' transacties, de hackers maar 1 mule voor handen hebben. Dit betekend dat hackers op dit moment een overvloed hebben van potentiële aanvallen, maar niet over de resources beschikken om dit geld ook daadwerkelijk te bemachtigen.

Het ontwikkelen van een malware/virus die de mobile banking app's als doel heeft zijn specifieke stukken software die met 1 patch al gestopt kunnen worden. Hierdoor liggen de kosten van het ontwikkelen voor Mobile banking een stuk hoger dan de al bekende weg, Online banking.

De twee punten gecombineerd (en dit is straight out of the horses mouth) leid ertoe dat Mobile banking op dit moment (ondanks de 5 cijferige code) op dit moment veiliger is dan Online banking. Onderzoek wijst uit dat op dit moment nagenoeg 0% van banking fraude op de mobiel voorkomt. Kwaadwilligen hebben al een makkelijke weg en een overvloed aan potentiële slachtoffers, waarvoor geen extra kosten te worden hoeven gemaakt.

Long story short: Zolang mules nodig zijn om geld wit te wassen is Mobile Banking nog veiliger dan Online banking. Zodra deze group ontweken kan worden, zal niet alleen Mobile banking ook een doelwit worden, maar zal in het algemeen een enorme verhoging van bankfraude gedetecteerd worden.
02-01-2014, 13:39 door Loek_Mediablue
Als de gewone site beter bevalt dan de app, dan gebruik je toch gewoon de site via je mobile device?

Ik gebruik al jaren de gewone site via mijn ipad enn telefoon en werkt prima.
02-01-2014, 17:15 door Anoniem
Ik doe mijn bankzaken via een ChromeBook.
De beveiliging van de ChromeBook wordt buiten mijn (on)kunde om geregeld.
Als anderen zich toch toegang tot mijn ChromeBook kunnen verschaffen dan kan mij geen onzorgvuldigheid of erger grove nalatigheid worden verweten.
Mijn ChromeBook kost 299 Euro.
Als mijn ChromeBook 4 jaar meegaat dan zijn de kosten vergelijkbaar met een goed beveiligingspakket, maar nooit duurder dan het dubbele (garantie 2 jaar, dus max. 12.45 per maand).
Een voordeel is dat ik zelf kan bepalen hoe (on)veilig ik omga met mijn "gewone" computer.
Is een ChromeBook te duur dan is er altijd nog de mogelijkheid een live CD/USB met Linux (Mint) te gebruiken.
06-01-2014, 13:56 door hanspaint
De code is op zich eenvoudig te kraken maar je krijgt maar 3 pogingen. Daarbij is het overmaken van geld beperkt tot een ingesteld maximum en alleen naar rekeningen die in je adresboek staan en het laatste jaar gebruikt zijn.
06-01-2014, 14:00 door hanspaint
Door Anoniem: Het veiligst: niet aan internetbankieren beginnen.
Hier zijn de redenen:
http://tinyurl.com/kpgsyqw
http://tinyurl.com/a7xeh5m
Zeer benieuwd of de redactie deze in intact laat
in het nieuwe jaar.

Onzin bankgiro's in de brievenbus is ook onveilig.
06-01-2014, 15:02 door Spiff has left the building - Bijgewerkt: 06-01-2014, 15:08
Door Anoniem, 01-01-2014, 14:09 uur:

Het veiligst: niet aan internetbankieren beginnen.
Hier zijn de redenen:
http://tinyurl.com/kpgsyqw
http://tinyurl.com/a7xeh5m
Zeer benieuwd of de redactie deze in intact laat in het nieuwe jaar.

Waarom zou de redactie je post niet laten staan?
Ik zie daar geen enkele reden voor.
Een reactie van een niet-ingelogde gebruiker komt door de moderatie, of niet.
Enkel wanneer een reactie is geplaatst die in strijd is met de huisregels of doelstellingen van Security.NL dan behoudt de redactie zich het recht zo'n reactie na plaatsing nog te verwijderen.
Dat is niet van toepassing op jouw reactie, dus ik snap er niks van wat je bedoelde met je merkwaardige opmerking.

En daarnaast:
Waarom nou toch TinyURL-adressen gebruiken?!
Waarom het niet simpel houden en gewoon het volledige adres neerzetten?
Het is hier immers geen Twitter, maar een security-site.

Het zal je toch bekend moeten zijn dat het gebruik van verkorte URL's waar dat niet nodig is tot irritatie leidt.
Wie wil weten naar welk adres zo'n verkorte URL leidt (ja, onder meer uit security-oogpunt) die moet eerst de verkorte URL in een URL-expander zoals http://longurl.org/ voeren.

Daarom geen verkorte URL gebruiken wanneer dat nergens voor nodig is.
Het gebruik van verkorte URL's waar dat niet nodig is leidt alleen maar tot irritatie, en tot het verder insluipen van de nare gewoonte van het onnodig URL-verkorten.
14-01-2014, 02:19 door Anoniem
Ik vind het helemaal niet veilig. Ik kwam onlangs pas achter dat als je geld overmaakt naar een andere ABN rekening via de APP. Dat diegene wie het geld ontvangt bij omschrijving van het desbetreffende transactie, mijn volledige adres ziet. Hoewel ik helemaal niks had ingevuld bij omschrijvingen toen ik het geld over had gemaakt. Dit is echt NIET veliig.

Tuurlijk maak ik geen geld over naar totaal vreemde mensen. Maar het is ook niet de bedoeling dat elk persoon wie ik geld heeft overgemaakt via de app dan gelijk weet WAAR ik woon.

Heb al contact met ABN genomen, maar helemaal geen reactie. BTW ik weet niet of dit ook zo is als je via de app geld overmaakt naar rekeningen van andere banken.

Kom op zeg , dus als ik geld overmaak naar iemand dan weet diegene gelijk waar ik woon, dat is toch niet veilig. Je weet het maar nooit in deze tijden. Ikvind het echt slecht van abn , staat helemaal niks hierover.
14-01-2014, 12:43 door Anoniem
Wil je veilig bankieren dan zal je een creditcard moeten maken met een display:

Waarop komt te staan--->transactie : bedrag : naar : datum: tijd : ja/nee;

zoals:
14,85 euro
Albert Hein
Pleinweg 100
Amsterdam
14/01/2014/12:11

en daarna de vraag is dit oké ? bevestig met pin;

deze informatie verlaat dan gecodeerd de creditcard en indien een hakker toegang wil dan kan dat niet.

want als:

1.0000
mr. oplichter
verwegroad 12
new york
14/01/2014/12:11

dan bevestig je niet met pin en je belt de bank om fraude te melden.

In een normale bank is het geld en het gebouw onder begeer van de bank...: veilig
In digitale wereld: het geld is op een plaats waar iedereen kan komen en in een omgeving die niet door de bank zelf is
gecreëerd en of word beheerd. (PC/TABLET/TELEFOON...)
Dus maak een identificeer/creditcard waar wel 100% controle over is en laat de klant zien wat er gebeurt.

code 1234 6789 is voor de klant abracadabra [ 100euro storen naar security.nl] is duidelijk.
ja ik wil nee ik vermoed fraude ---> bij nee stuur een incident rapport naar bank bij ja voer uit.

-----------------------------------------------

Tip 2:

Ik zou willen instellen dat als ik mobiel ben dat een aantal functies standaard zijn ingeschakeld.

1. een dag limiet om over te maken
2. spaarrekeningen standaard geblokkeerd
3. toon saldo alleen als dat gewent is
4. sms wanneer limieten overschreden worden (grote overboekingen / dag limiet overschreden / buitenland overboeking)
5. sms mag wat kosten als klant deze zelf heeft veroorzaakt
6. sms is gratis bij fraude en klant en bank kunnen meteen actie ondernemen
7. sms niet op zelfde toestel laten binnenkomen of stop een simkaart in The creditcard/identificeer voor sms verkeer.

--------------------------------------------------------

Nu is het zo:

In de echte fysieke wereld heb je banken,kluizen,gescreend personeel, camera's, en veel controles op geld stromen.
In de digitale wereld is het als je het alsof je bankzaken regelt op het centraal station in Amsterdam of
in een duister café en de bank eist dat je zelf zorgt voor:
een veilige plek (bankgebouw),goed camera toezicht,zelf mensen screent etc.....
De bank vereist gewoon dat de klant een device heeft met de beste actuele virusscanner alle software up to date.
En als er iemand bij google een BANKTROJAN in een update verstopt. zelf dan is de klant nog de dupe.

Anno 2014 : Banken verleggen hun taken naar de klant.
De BANK moet het systeem veilig maken. en niet van de klant eisen dat zij het werk doen.

In America TARGET (alle creditcards gekloond) wat had de klant anders kunnen doen?
21-01-2014, 12:28 door Anoniem
Door Briolet: Het wordt tijd dat ze ook op de PC, de browser vaarwel zeggen en met een eigen app komen.
Het grappige is dat de ING/Postbank die app ook had.
Dat heette toen het Girotel programma.
Dat werkte prima maar met deze klanten kreeg de bank minder contact-momenten en de verkoop van andere bankproducten liep dus terug.
En toen was daar de webbrowser. Door de gebruiker te laten telebankieren met z'n webbrowser kun je een gebruiker naar je website sturen en -behalve telebankieren- ook de nieuwe banner van je reis-afdeling of verzekerings-divisie presenteren.
Als het nu onveiliger werkt is dat dus een consequentie van hun eigen bankbesluit.
21-01-2014, 12:42 door Anoniem
> Dus maak een identificeer/creditcard waar wel 100% controle over is en laat de klant zien wat er gebeurt.
> code 1234 6789 is voor de klant abracadabra [ 100euro storen naar security.nl] is duidelijk.

Dat is goed bedoeld maar in de praktijk toch wat lastiger
want de Hema (franchise-organisatie) in A'dam blijkt dan formeel 'Amsterdams warenhuis bv' te heten
en je betaling voor de Fietswebshop blijkt dan naar 'Stichting derdengelden Ogone' te gaan.
En die formele juistheid maakt het voor de gebruiker toch niet simpeler.
22-01-2014, 15:39 door Anoniem
De veiligheid is wel dat je een max bedrag kan kiezen om met de tablet te kunnen betalen. Ook kan je wanneer je je tablet kwijtraakt deze deleten in je online banking. Dit is toch bij mij zo (België)
Natuurlijk zou een langer paswoord een betere security hebben.
25-01-2014, 18:07 door Anoniem
Ik gebruik met plezier de Rabobank App, ik kan hiermee, saldochecken, af/bijschrijvingen bekijken, geld overmaken.

De beveiliging vind ik op orde.

De app is met de randomreader (token-apparaatje) eenmalig en uniek gekoppeld aan de hardware van mijn smartphone.
In de app moet je inloggen met een 5-cijferige pincode naar keuze.
Als ik geld over wil maken, dan kan dat zonder gebruik van de randomreader mits:
-het naar een rekening is waar ik eerder geld naar overmaakte
-het minder dan 250 euro is

In alle andere gevallen moet ik de betaling signeren met de randomreader (net als bij internetbankieren op de pc).
25-01-2014, 18:10 door Anoniem
Door Anoniem: Het veiligst: niet aan internetbankieren beginnen.
Hier zijn de redenen:
http://tinyurl.com/kpgsyqw
http://tinyurl.com/a7xeh5m
Zeer benieuwd of de redactie deze in intact laat
in het nieuwe jaar.

Ik klik op de link en lees het angstige gebazel van een oude man, een financieel consulent niet gehinderd door enige kennis of inzicht op het gebied van IT security.
26-01-2014, 14:56 door Anoniem
"Ik keek naar de ING mobielbankieren app en zag dat de enige beveiliging een 5-cijferige pincode is. "

Vergeet niet: je moet ook precies dat apparaat in je handen hebben. Dat is dus wel mooi two-factor.
En, je kunt met die app niet alles wat je online kunt (b.v. alleen naar bekende rekeningnummers).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.