/dev/null - Overig

Nieuwe inlogmethode IDin NIET veilig!

02-02-2017, 12:45 door Anoniem, 54 reacties
Van mijn bank ING kreeg ik de mededeling dat ik bij allerlei instanties kan inloggen met mijn inlognaam en password van de ING. Oa nu al bij de belastingdienst.

"Met iDIN kunt u zich bij steeds meer websites veilig en op dezelfde manier identificeren. U gebruikt namelijk de inlogmethode van Mijn ING."

Nou daar is dus NIETS veiligs aan!

Bij de belastingdienst of SVB-AOW log ik in via DigiD met tweefactor, dus extra via SMS bericht (via een aparte GSM).

Bij de ING is dat niet mogelijk: alleen inlognaam en password zijn voldoende. Dat wordt dus straks zéér lucratief om te benutten en om te proberen die twee gegevens te ontfutselen aan argeloze gebruikers. Ik zie de mailtjes al komen.

Ergerlijk is daarbij, dat het niet mogelijk is deze optie uit te zetten. Iedereen die éénmaal mijn ING inloggegevens te pakken heeft gekregen kan bij alle aangesloten instanties (en straks aangesloten webwinkels) inloggen met die gegevens! Ik kan op geen enkele manier voorkomen dat dat gaat gebeuren. "Als u toegang heeft tot Mijn ING, dan kunt u iDIN direct gebruiken. iDIN is namelijk één van de mogelijkheden van Mijn ING."

Ik zou het logisch vinden dat de aanmelding met de TAN-code zou gebeuren, dan zou het in elk geval enigszins gelijkwaardig zijn aan DigiD met 2 factor.

En in elk geval zou het nog logischer zijn dat ik kan aangeven dat ik deze optie niet wil gebruiken. Eventueel via een formuliertje zoals bij het negatief kunnen staan.

Vooral het idee dat er daarmee straks ingelogd kan worden op uitkeringsinstanties (bij mij de SVB-AOW) en dan heel makkelijk het rekeningnummer gewijzigd kan worden baart me ernstige zorgen!

Het wordt allemaal gebracht als 'makkelijk' en vooral ook als 'veilig' maar dat is het helemaal niet!
Reacties (54)
02-02-2017, 17:01 door Anoniem
Zoveel domheid van deze bank moet ik even verwerken...
02-02-2017, 17:22 door SecOff - Bijgewerkt: 02-02-2017, 17:22
Door Anoniem:
Ik zou het logisch vinden dat de aanmelding met de TAN-code zou gebeuren, dan zou het in elk geval enigszins gelijkwaardig zijn aan DigiD met 2 factor. Het wordt allemaal gebracht als 'makkelijk' en vooral ook als 'veilig' maar dat is het helemaal niet!

Of je wel of geen tweede factor (bij ING is dit de TAN code) moet gebruiken wordt bepaald door degene bij wie je in wilt loggen. Precies zoals dat ook bij DigiD het geval is.
zie https://www.forumstandaardisatie.nl/nieuws/nieuwe-versie-handreiking-betrouwbaarheidsniveaus
02-02-2017, 17:43 door flyingscoot
Door Anoniem: Van mijn bank ING kreeg ik de mededeling dat ik bij allerlei instanties kan inloggen met mijn inlognaam en password van de ING. Oa nu al bij de belastingdienst.

"Met iDIN kunt u zich bij steeds meer websites veilig en op dezelfde manier identificeren. U gebruikt namelijk de inlogmethode van Mijn ING."

Nou daar is dus NIETS veiligs aan!

Bij de belastingdienst of SVB-AOW log ik in via DigiD met tweefactor, dus extra via SMS bericht (via een aparte GSM).

Bij de ING is dat niet mogelijk: alleen inlognaam en password zijn voldoende. Dat wordt dus straks zéér lucratief om te benutten en om te proberen die twee gegevens te ontfutselen aan argeloze gebruikers. Ik zie de mailtjes al komen.

Ergerlijk is daarbij, dat het niet mogelijk is deze optie uit te zetten. Iedereen die éénmaal mijn ING inloggegevens te pakken heeft gekregen kan bij alle aangesloten instanties (en straks aangesloten webwinkels) inloggen met die gegevens! Ik kan op geen enkele manier voorkomen dat dat gaat gebeuren. "Als u toegang heeft tot Mijn ING, dan kunt u iDIN direct gebruiken. iDIN is namelijk één van de mogelijkheden van Mijn ING."

Ik zou het logisch vinden dat de aanmelding met de TAN-code zou gebeuren, dan zou het in elk geval enigszins gelijkwaardig zijn aan DigiD met 2 factor.

En in elk geval zou het nog logischer zijn dat ik kan aangeven dat ik deze optie niet wil gebruiken. Eventueel via een formuliertje zoals bij het negatief kunnen staan.

Vooral het idee dat er daarmee straks ingelogd kan worden op uitkeringsinstanties (bij mij de SVB-AOW) en dan heel makkelijk het rekeningnummer gewijzigd kan worden baart me ernstige zorgen!

Het wordt allemaal gebracht als 'makkelijk' en vooral ook als 'veilig' maar dat is het helemaal niet!
Door Anoniem: Zoveel domheid van deze bank moet ik even verwerken...

Ik leef met je mee. Stel een echte website is gehackt en je logt daar op in dan heb je een mega probleem. En laten we eerlijk zijn dit is vragen om hele grote problemen ik ga het niet gebruiken al wordt ik gedwongen dan nog kunnen ze de boom in.
02-02-2017, 21:23 door Anoniem
Of je wel of geen tweede factor (bij ING is dit de TAN code) moet gebruiken wordt bepaald door degene bij wie je in wilt loggen. Precies zoals dat ook bij DigiD het geval is.
zie https://www.forumstandaardisatie.nl/nieuws/nieuwe-versie-handreiking-betrouwbaarheidsniveaus
Bij DigiD kan ik ook nog kiezen dat voor alle websites 2-factor authenticatie wordt gebruikt.
Hoe zit dat bij iDin?
02-02-2017, 21:53 door Anoniem
Het wordt straks erg makkelijk om inlognaam en password te bemachtigen. Een boosdoener hoeft alleen maar een nepwinkel in te richten, waarbij bij het aanmelden (om iets te kunnen bestellen) naar een een nagemaakte IDin site gelinkt wordt.

Aldaar worden de inlognaam en het password gevraagd en vervolgens verschijnt er een mededeling dat het aanmelden mislukt is.
Daarna is alles op de ING rekening beschikbaar voor de misbruiker. Hij kan alleen niet daadwerkelijk geld overmaken (want daarvoor is dan nog een TAN-code nodig) maar kunt wel bij alle 'dommerikken' die erin tuinen alles bekijken. En omdat hij kan zien waarvandaan de inkomsten komen, kan hij aldaar inloggen (is geen verdere toestemming voor nodig!) en bankrekeningnummers aanpassen.

Of bij andere webwinkels spullen bestellen en de betaling na aflevering lekker naar de rekeninghouder doorsluizen. Of...

Onvoorstelbare blunder van de ING!
02-02-2017, 23:21 door SecOff
Door Anoniem:
Of je wel of geen tweede factor (bij ING is dit de TAN code) moet gebruiken wordt bepaald door degene bij wie je in wilt loggen. Precies zoals dat ook bij DigiD het geval is.
zie https://www.forumstandaardisatie.nl/nieuws/nieuwe-versie-handreiking-betrouwbaarheidsniveaus
Bij DigiD kan ik ook nog kiezen dat voor alle websites 2-factor authenticatie wordt gebruikt.
Hoe zit dat bij iDin?
Voor zover ik weet kun je dat daar niet kiezen omdat er geen centrale id provider is zoals bij digid.
Als je jezelf wilt beschermen dus niet met je ING credentials inloggen bij een idin enabled site. De oorzaak van het probleem ligt bij de ING die logins zonder tweede factor toestaan op hun omgeving.

Door Anoniem: Het wordt straks erg makkelijk om inlognaam en password te bemachtigen. Een boosdoener hoeft alleen maar een nepwinkel in te richten, waarbij bij het aanmelden (om iets te kunnen bestellen) naar een een nagemaakte IDin site gelinkt wordt.
Het inloggen vindt plaats op de website van je eigen bank en niet op een pagina binnen de idin enabled website. Het proces werkt hetzelfde als een ideal betaling bij een webshop.
02-02-2017, 23:54 door Anoniem
Door SecOff:Het inloggen vindt plaats op de website van je eigen bank en niet op een pagina binnen de idin enabled website. Het proces werkt hetzelfde als een ideal betaling bij een webshop.
Dat klopt... bij een reguliere (betrouwbare) site gaat dat zo.

Maar het zal voor een beetje geoefende oplichter een peuleschil zijn een (in het buitenland vertoevende) webwinkel te bouwen met een daarvandaan gekoppelde namaak idin aanmelding. Alleen maar om aan de codes te komen. Er zullen massa's mensen zijn die nooit naar dat slotje bovenaan kijken of niet controleren of het wel werkelijk de idin site is.

Bij Ideal moet je, om de betaling af te maken, (bij ING) altijd nog je TAN code invoeren. Zonder de juiste TAN code kan een ander weinig. Dus is er ook weinig reden de Ideal na te doen.

Maar nu openen zich ongekende mogelijkheden om naast Phishing mails ook Phishing sites te bouwen. Alleen maar om je aan te melden: overal hetzelfde password. En er dan andere dingen mee kunnen doen, waaronder bestellingen. Levensgevaarlijk.

En wat ik helemaal niet snap: ze hebben bij zorgverzekeringen heel bewust gekozen voor inlog via 2 factor ID. Inlog via alleen naam + password is nog niet zo lang geleden geheel 'verboden'.

En nu zit VGZ al bij het rijtje waar je kun inloggen via de 1 factor inlog van de ING!

Waarom zou een 1 factor inlog via de ING veiliger zijn dan een 1 factor inlog via DigiD?
03-02-2017, 08:42 door Anoniem
Door SecOff:Het inloggen vindt plaats op de website van je eigen bank en niet op een pagina binnen de idin enabled website. Het proces werkt hetzelfde als een ideal betaling bij een webshop.

Maar het spoofen van de ING inlogpagina is niet zo moeilijk. Veel mensen kunnen er standaard instinken en dan heb je de poppen aan het dansen.
03-02-2017, 13:42 door Anoniem
Door Anoniem:
Door SecOff:Het inloggen vindt plaats op de website van je eigen bank en niet op een pagina binnen de idin enabled website. Het proces werkt hetzelfde als een ideal betaling bij een webshop.

Maar het spoofen van de ING inlogpagina is niet zo moeilijk. Veel mensen kunnen er standaard instinken en dan heb je de poppen aan het dansen.

Dat zou men toch duidelijk moeten zien aan de browser in geval je op een nagebootste bankpagina zit:
Geen groene balk en andere waarschuwingen.
05-02-2017, 01:21 door Briolet
Door Anoniem: Maar het zal voor een beetje geoefende oplichter een peuleschil zijn een (in het buitenland vertoevende) webwinkel te bouwen met een daarvandaan gekoppelde namaak idin aanmelding. Alleen maar om aan de codes te komen. Er zullen massa's mensen zijn die nooit naar dat slotje bovenaan kijken of niet controleren of het wel werkelijk de idin site is.

Ik zie daar ook grote kansen voor oplichters. Een site bouwen met een slotje is geen kunst en de doelgroep let echt niet op de kleur van het slotje. Certificaten controleren kan straks niet meer op sommige browsers. Chrome zal met de volgende release het controleren van een certificaat onmogelijk maken voor de gemiddelde gebruiker.

Het gebruik van een auto-fill van account en wachtwoorden, bied bescherming tegen dit soort ongein. Als ik op mijn banksite kom, vraagt de wachtwoord manager het hoofdwachtwoord van de sleutelhanger en daarna vult hij mijn credentials in. Bij een fake website zal hij niets invullen en ruik je zelfs onraad als je niet naar de url balk gekeken hebt. Per ongeluk alsnog handmatig intikken zal niet gaan want ik ken dat wachtwoord niet eens uit mijn hoofd.
05-02-2017, 20:24 door Anoniem
Wat een domheid hier weer. Als dit niet veilig is, dan is iDeal betalen ook niet veilig. Het inloggen gaat helemaal via de site van de bank en zelfs via de iDeal pagina van de bank.
06-02-2017, 10:12 door Anoniem
Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
06-02-2017, 10:40 door Anoniem
Meer uitleg over IDIN http://www.binnenlandsbestuur.nl/digitaal/kennispartners/cgi/een-weg-in-het-woud-van-inlogmiddelen.9556190.lynkx

"Je krijgt je (IDIN) account pas na het tonen van je paspoort, terwijl voor DigiD het ontvangen van een brief al voldoende is.”
Het schijnt dat met behulp van die brieven veel fraude is gepleegd met Digid

Vind de nieuwe 2-factor functie in MijnING overigens erg handig, via 'betaling overnemen' een QR code scannen en je opdracht bevestigen met de app. Zou mooi zijn als zoiets ook met IDIN zou kunnen.

De publiek-private samenwerking overheid-banken moet natuurlijk wel goed gecontroleerd gaan worden, benieuwd hoe dat wordt georganiseerd, weet iemand dat toevallig?
06-02-2017, 13:35 door Anoniem
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
Fout zit kennelijk in gebrek aan informatievoorziening van ING die nadenkende mensen de stuipen op het lijf jaagt.
Jammer. Had van ING iets meer verwacht. (ehm... ho wacht, wat zeg ik nu?...)
06-02-2017, 14:24 door Briolet
Door Anoniem: Wat een domheid hier weer. Als dit niet veilig is, dan is iDeal betalen ook niet veilig. Het inloggen gaat helemaal via de site van de bank en zelfs via de iDeal pagina van de bank.

Die dommigheid zit bij jezelf. Lezen is een kunst voor sommigen.

Als je de argumenten van onveiligheid echt gelezen hebt, wist je dat de echte iDeal site er niets mee te maken heeft.
06-02-2017, 15:52 door Anoniem
Door Anoniem: Meer uitleg over IDIN http://www.binnenlandsbestuur.nl/digitaal/kennispartners/cgi/een-weg-in-het-woud-van-inlogmiddelen.9556190.lynkx

"Je krijgt je (IDIN) account pas na het tonen van je paspoort, terwijl voor DigiD het ontvangen van een brief al voldoende is.”
Het schijnt dat met behulp van die brieven veel fraude is gepleegd met Digid

Vind de nieuwe 2-factor functie in MijnING overigens erg handig, via 'betaling overnemen' een QR code scannen en je opdracht bevestigen met de app. Zou mooi zijn als zoiets ook met IDIN zou kunnen.

De publiek-private samenwerking overheid-banken moet natuurlijk wel goed gecontroleerd gaan worden, benieuwd hoe dat wordt georganiseerd, weet iemand dat toevallig?

Ja, de wet GDI die in ontwikkeling is zegt e.e.a. omtrent publiek-privaat authenticeren zie onderaan pagina: https://www.digitaleoverheid.nl/beleid/digitalisering-aanbod/inhoud/
06-02-2017, 23:31 door Anoniem
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
(TS hier)
Als dat inderdaad zo zou zijn, dan ligt het heel anders. Dat blijkt echter niet uit de informatie van de iNG. Die geeft aan dat je je aan moet melden mbv. inlognaam en password. Net zoals je normaal op de bankaccount inlogt.

Over een noodzaak van gebruik van een TAN code wordt nergens gesproken. Dus ga ik ervan uit dat daar geen sprake van is en ga dat ook zeker niet proberen. Ook al beweert een (onbekend) iemand dat dat wél via TAN-codes gaat.

Hoezo kennis van zaken? De informatie komt van de ING en is enkele dagen oud. Hoezo zou een ING klant dan moeten weten dat het anders zou zijn?

Vooralsnog geloof ik er niets van: laat de ING maar eens komen met (de juiste!) informatie.
07-02-2017, 10:07 door Anoniem
Door Anoniem:
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
(TS hier)
Als dat inderdaad zo zou zijn, dan ligt het heel anders. Dat blijkt echter niet uit de informatie van de iNG. Die geeft aan dat je je aan moet melden mbv. inlognaam en password. Net zoals je normaal op de bankaccount inlogt.

Over een noodzaak van gebruik van een TAN code wordt nergens gesproken. Dus ga ik ervan uit dat daar geen sprake van is en ga dat ook zeker niet proberen. Ook al beweert een (onbekend) iemand dat dat wél via TAN-codes gaat.

Hoezo kennis van zaken? De informatie komt van de ING en is enkele dagen oud. Hoezo zou een ING klant dan moeten weten dat het anders zou zijn?

Vooralsnog geloof ik er niets van: laat de ING maar eens komen met (de juiste!) informatie.

Dus wat je eigenlijk zegt is dat je niet weet hoe het werkt, maar je wel over de daken roept dat het onveilig is.
07-02-2017, 10:28 door SecOff
Over een noodzaak van gebruik van een TAN code wordt nergens gesproken. Dus ga ik ervan uit dat daar geen sprake van is en ga dat ook zeker niet proberen. Ook al beweert een (onbekend) iemand dat dat wél via TAN-codes gaat.
Nogmaals: Het inloggen zelf doe je op de site van de ING. De ING geeft alleen je identiteit door aan de belastingdienst, niet je ING username en wachtwoord. Als je vindt dat je zelf niet kunt zien of je echt op een ING pagina inlogd, dan zou ik inderdaad niet meer inloggen met je ING gegevens (ook niet bij de ING zelf).
07-02-2017, 14:10 door Anoniem
Door Anoniem:
Dus wat je eigenlijk zegt is dat je niet weet hoe het werkt, maar je wel over de daken roept dat het onveilig is.
Nee ik reageer aan de hand van datgene wat de ING mij informeert.
Daar wordt totaal niet gesproken over TAN codes.

Door SecOff:
Het inloggen zelf doe je op de site van de ING. De ING geeft alleen je identiteit door aan de belastingdienst, niet je ING username en wachtwoord.
Dat maakt geen verschil! Indien de inlognaam en het password op welke wijze dan ook gekaapt zijn (bijv. MITM), kan een onverlaat in mijn naam inloggen bij elke site die aangesloten is bij iDIN (er daarbij nog steeds van uit gaand dat er geen TAN code nodig is).
Dat maakt het een stap minder veilig dan DigiD waarbij je de extra SMS-verificatie hebt.

En uitzetten is er niet bij: ben je bij de ING dan heeft iedereen die je inlogcode heeft weten te bemachtigen toegang tot alle aangesloten sites!
07-02-2017, 15:19 door Anoniem
Wat is het protocol tussen de ING en de winkel of belastingdienst? Is dat zoiets als google aabiedt, ik dacht Oauth?
08-02-2017, 09:56 door Anoniem
ING ondersteunt iDIN mét en zónder TAN-code. De acceptant (de Belastingdienst) bepaalt welke variant ze voor iDIN willen gebruiken. In dit geval zou dus de Belastingdienst hebben gekozen voor de variant zónder TAN-code.

Overigens krijgt een acceptanten zelf nooit toegang tot jetoegangscodes bij je eigen bank, zolang je goed controleert dat je die toegangscodes alleen intikt op de webpagina van je eigen bank.
08-02-2017, 15:06 door Anoniem
De relatief nieuwe eIDAS-normen vereisen bij bank-tokens áltijd tweefactorauthenticatie, dus het lijkt me dat dit (inderdaad belangrjike) issue ondervangen wordt. Zonde dat ING dit zo slecht communiceert en (hopelijk) onnodig voor twijfels zorgt. Maar iDIN verwijst zelf op haar site naar de Handreiking Betrouwbaarheidsnormen waarin eIDAS de leidraad is: https://www.forumstandaardisatie.nl/sites/bfs/files/atoms/files/Handreiking_Betrouwbaarheidsniveaus_2016.pdf
08-02-2017, 16:22 door Anoniem
Bij de Belastingdienst moet je altijd een TAN-code invoeren als je daar via ING met iDIN inlogt! Probeer zelf maar...
Bij de SVB-AOW kun je nog helemaal niet inloggen met iDIN.
08-02-2017, 17:27 door Anoniem
Door Anoniem:
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
(TS hier)
Als dat inderdaad zo zou zijn, dan ligt het heel anders. Dat blijkt echter niet uit de informatie van de iNG. Die geeft aan dat je je aan moet melden mbv. inlognaam en password. Net zoals je normaal op de bankaccount inlogt.
Er staat ook op de ING site nergens beschreven dat je alleen inlogt met je username en wachtwoord. Maar er staat ook nergens beschreven van je inderdaad je TAN code nodig hebt.
Je doet nu aannames, die dus niet blijken te kloppen. Waarna je ook nog eens begint te "zeiken" zonder zelf goed onderzoek te doen.

Over een noodzaak van gebruik van een TAN code wordt nergens gesproken.
Ook niet dat je alleen inlogt met een userid / password.
Dus ga ik ervan uit dat daar geen sprake van is
Assumption is the mother.....

en ga dat ook zeker niet proberen. Ook al beweert een (onbekend) iemand dat dat wél via TAN-codes gaat.
Oke. Dus je wilt zelf niets onderzoeken, en je neemt niets van iemand aan, die blijkbaar het tegendeel beweerd. En toch vind je het waardeloos.

Hoezo kennis van zaken? De informatie komt van de ING en is enkele dagen oud. Hoezo zou een ING klant dan moeten weten dat het anders zou zijn?

Vooralsnog geloof ik er niets van: laat de ING maar eens komen met (de juiste!) informatie.
Heb je misschien toevallig al eens met de ING gebeld? Die kunnen je waarschijnlijk perfect uitleggen hoe het werkt.

Je hebt dan ook meteen een goed antwoord, zonder zelf aannames te doen en een hoop onzin op het Internet te vertolken.
09-02-2017, 13:24 door Anoniem
Al eens gekeken op de website van iDIN? Bij de veelgestelde vragen? Nee?
10-02-2017, 17:22 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.
(TS hier)
Als dat inderdaad zo zou zijn, dan ligt het heel anders. Dat blijkt echter niet uit de informatie van de iNG. Die geeft aan dat je je aan moet melden mbv. inlognaam en password. Net zoals je normaal op de bankaccount inlogt.
Er staat ook op de ING site nergens beschreven dat je alleen inlogt met je username en wachtwoord. Maar er staat ook nergens beschreven van je inderdaad je TAN code nodig hebt.
Je doet nu aannames, die dus niet blijken te kloppen. Waarna je ook nog eens begint te "zeiken" zonder zelf goed onderzoek te doen.

Over een noodzaak van gebruik van een TAN code wordt nergens gesproken.
Ook niet dat je alleen inlogt met een userid / password.
Dus ga ik ervan uit dat daar geen sprake van is
Assumption is the mother.....

en ga dat ook zeker niet proberen. Ook al beweert een (onbekend) iemand dat dat wél via TAN-codes gaat.
Oke. Dus je wilt zelf niets onderzoeken, en je neemt niets van iemand aan, die blijkbaar het tegendeel beweerd. En toch vind je het waardeloos.

Hoezo kennis van zaken? De informatie komt van de ING en is enkele dagen oud. Hoezo zou een ING klant dan moeten weten dat het anders zou zijn?

Vooralsnog geloof ik er niets van: laat de ING maar eens komen met (de juiste!) informatie.
Heb je misschien toevallig al eens met de ING gebeld? Die kunnen je waarschijnlijk perfect uitleggen hoe het werkt.

Je hebt dan ook meteen een goed antwoord, zonder zelf aannames te doen en een hoop onzin op het Internet te vertolken.
Ik ben al bij twee bedrijven aangemeld via iDin en in kan je verzekeren dat het via Tancodes gaat! Ook gaat het via de iDeal inlogpagina van de banken, dus je vult helemaal geen inloggegevens op een andere site in.
10-02-2017, 18:02 door Anoniem
Geblaat hier tegen topicstarter is onrechtvaardig.
ING is de boosdoener: ze zouden duidelijker moeten communiceren door te vermelden hoe het zit met de TAN-codes.
Dat hoort een bank zélf te vermelden en daar hoor je niet om te moeten zoeken.

En ik geeft topicstarter helemaal gelijk dat hij niet meteen aanneemt wat een forum zegt.
De reacties hier geven wél reden om ING nader te bevragen hoe het nu feitelijk zit, en waarom dat niet in de brief stond.
Of misschien heeft ING wel nieuwe iDin voorwaarden of internetbankieren voorwaarden waar het in staat?
Daar zou je eerst eens naar op zoek kunnen gaan op de ING website voordat je contact opneemt met de bank.
11-02-2017, 20:10 door Anoniem
Geblaat hier tegen topicstarter is onrechtvaardig.
Onrechtvaardig?
Als je een topic begint met "Nieuwe inlogmethode IDin NIET veilig!", dan verwacht ik (en ik zal niet de enige zijn) een mooi betoogje gebaseerd op FEITEN. Het enige waar dit op gebaseerd is zijn aannamens. Tweefactor Authenticatie zou niet mogelijk zijn bij de ING, het feit dat er dus weldegelijk een TAN-code benodigd is haalt zijn gehele punt onderuit. Terwijl dit wel gewoon op de info-pagina van ING en iDin staat (niet zeer duidelijk, maar het staat er wel).

Daarnaast gelijk de opmerking dat het niet mogelijk is om deze optie uit te zetten; Is dat zo? Wellicht zijn er wel mogelijkheden?

Vragen over een dienst; neem contact op met de partij die de betreffende dienst aanbiedt, in plaats van een forum-discussie te starten welke gebaseerd is op aannamens en onjuistheden om een dienst zwart te maken (?) - daar lijkt het tenminste sterk op.
12-02-2017, 11:57 door dilbert55
Het enigste wat ik eng vind is dat al jou belangrijke gegevens te bereiken zijn via 1 inlog methode.....dat maakt het voor hackers een ultiem doel waar veel te halen valt en zoals we weten is niets helemaal veilig dus iDIN ook niet!
12-02-2017, 13:53 door [Account Verwijderd] - Bijgewerkt: 12-02-2017, 13:54
Door dilbert55: Het enigste wat ik eng vind is dat al jou belangrijke gegevens te bereiken zijn via 1 inlog methode.....dat maakt het voor hackers een ultiem doel waar veel te halen valt en zoals we weten is niets helemaal veilig dus iDIN ook niet!

Juist. Dat is een heel gezonde houding!
Over blaten gesproken: Hoeveel jaren 'blaten' security professionals dat je nooit hetzelfde wachtwoord elders moet gebruiken en voor het gemak (het wordt altijd gepresenteerd als gemakkelijk) kunnen gebruikers nu ineens met iDin deze wijze raad; het dubbelgebruik van dezelfde inlog sequenties, gaan negeren?

Globaal gesteld: (even lekker kankeren) vaker en vaker concludeer ik dat veel in de digitale wereld wat vooraf wordt gegaan door de letter i feitelijk staat voor de letter d...
12-02-2017, 14:56 door Anoniem
Over blaten gesproken: Hoeveel jaren 'blaten' security professionals dat je nooit hetzelfde wachtwoord elders moet gebruiken

Dat komt omdat een doorsnee website veel minder goed is beveiligd dan een bankwebsite.
En men heeft geredeneerd dat inloggen bij je bank in de praktijk zo goed als 100% veilig is als je je aan de regels houdt.
Als dat niet het geval zou zijn, ga je toch niet internetbankieren?
Dus ook veilig voor andere websites.
En uiteraard: het gaat ook om webwinkels faciliteren en ID-fraude bij webwinkels voorkomen.
Commerciebevorderend...
12-02-2017, 15:56 door Anoniem
Door dilbert55: Het enigste wat ik eng vind is dat al jou belangrijke gegevens te bereiken zijn via 1 inlog methode.....dat maakt het voor hackers een ultiem doel waar veel te halen valt en zoals we weten is niets helemaal veilig dus iDIN ook niet!

Correct, daarom is deze inlog methode ook een 2FA login. Die zijn vrij moeilijk te hacken. Nu heeft de enige bank dit wel beter voor elkaar dan de andere.
24-02-2017, 17:58 door Anoniem
Correct, daarom is deze inlog methode ook een 2FA login. Die zijn vrij moeilijk te hacken. Nu heeft de enige bank dit wel beter voor elkaar dan de andere.
De enige bank heeft het beter voor elkaar dan de andere? :-)
Verklaar?

Veel vragen worden trouwens hier beantwoord:
https://www.ing.nl/particulier/mobiel-en-internetbankieren/online-identificeren/index.html
En https://www.idin.nl/consumenten/waar-idin-gebruiken/
En dan concludeer ik met een grote waarschijnlijkheid dat je ook TANcodes nodig hebt bij iDIN.

Mogelijk ook interessant in de toekomst: aangetekend mailen met iDIN: https://www.aangetekendmailen.nl/idin/
Zo maakt men een gewone e-mail wettig. Dus geen "secure mail" meer vereist(?)
Nu alleen nog te gebruiken als klant van ABNAMRO.
Als het een succes wordt, gaan vanzelf meer banken er mee in zee.
Maar zou de vloer niet moeten worden aangeveegd met zulke ideeën?
Bijvoorbeeld welke garantie heb je dat er bij onbeveiligde e-mail onderweg niet met je mailtje wordt gesjoemeld?
Wat je schrijft weet je zeker. Maar wat daar van over blijft bij de ontvanger is zonder secure mail niet 100% zeker!
En was secure mail al niet wettelijk verzekerd? In dat geval hoef je er geen iDIN nog eens bij. Toch?
11-10-2017, 15:28 door Anoniem
Waar wel degelijk gevaren liggen is het feit dat acceptanten jouw identiteit matchen met de gegevens afkomstig van jouw bank waarbij alleen het achternaam en geboortedatum gebruikt kunnen worden voor een match want alle andere gegevens zijn aan wijzigingen onderhevig. In theorie zou het dus kunnen dat er nog een tweede persoon rond loopt met dezelfde achternaam en geb datum. Vergaand zou een kwaadwillend persoon zijn achternaam nog kunnen wijzigen bij zijn gemeente. Een aantal websites maakt hier al gebruik van. Veiliger zou zijn als er gematched wordt op bsn of bin nummer alleen hier moeten nu nog extra afsprakenover worden gemaakt met idin providers.
11-10-2017, 16:03 door Anoniem
Of je wel of geen tweede factor (bij ING is dit de TAN code) moet gebruiken wordt bepaald door degene bij wie je in wilt loggen. Precies zoals dat ook bij DigiD het geval is.

Bij de ING heb je geen TAN code nodig om in te loggen. Je hebt de TAN code nodig indien je betaalopdrachten e.d. wil versturen. Het feit dat ING verder geen 2FA gebruikt voor inloggen is redelijk lachwekkend/triest.
11-10-2017, 16:05 door Anoniem
De enige bank heeft het beter voor elkaar dan de andere? :-) Verklaar?

ING - Geen 2FA voor inloggen
Rabo - Wel 2FA voor inloggen, via Rabo Scanner

Duidelijk voorbeeld toch ?
11-10-2017, 16:12 door Anoniem
Over blaten gesproken: Hoeveel jaren 'blaten' security professionals dat je nooit hetzelfde wachtwoord elders moet gebruiken en voor het gemak (het wordt altijd gepresenteerd als gemakkelijk) kunnen gebruikers nu ineens met iDin deze wijze raad; het dubbelgebruik van dezelfde inlog sequenties, gaan negeren?

Dus als ik je goed begrijp, toont het feit dat de ING domme keuzes maakt aan, dat security professionals 'blaten' wanneer ze komen met zinnig advies ?
11-10-2017, 16:14 door Anoniem
Nogmaals: Het inloggen zelf doe je op de site van de ING. De ING geeft alleen je identiteit door aan de belastingdienst, niet je ING username en wachtwoord. Als je vindt dat je zelf niet kunt zien of je echt op een ING pagina inlogd, dan zou ik inderdaad niet meer inloggen met je ING gegevens (ook niet bij de ING zelf).

Lekker boeiend indien iemand anders, met jouw credentials, inlogt op de echte ING websites.
11-10-2017, 17:30 door Anoniem
Door Anoniem:
De enige bank heeft het beter voor elkaar dan de andere? :-) Verklaar?

ING - Geen 2FA voor inloggen
Rabo - Wel 2FA voor inloggen, via Rabo Scanner

Duidelijk voorbeeld toch ?

Het ligt niet zo simpel. De Rabo en ABN gebruiken wel 2nd factor voor inloggen, maar die 2nd factor is de bankpas
in plaats van een echte onafhankelijke 2nd factor. Die scanner/reader is geen 2nd factor want die dingen zijn
allemaal gelijk.
Het zwakke van het gebruik van de bankpas als 2nd factor voor alle beheer is dat je maar 1 ding kwijt hoeft te
raken om de volledige controle over je rekening te verliezen. Als iemand ergens je pincode meekijkt en vervolgens
je pasje steelt dan ben je al je geld kwijt. Zelfs met een pinlimiet kun je je niet beschermen want het verhogen van
die pinlimiet gaat weer via diezelfde pas als autorisatie! (hoe dom kun je zijn...)

Wat dat betreft is het risico bij ING heel wat beter gespreid:
- usernaam en password voor inloggen (daarmee kun je alleen het saldo en de overschrijvingen zien)
- 2nd factor authenticatie via telefoon voor gevoelige handelingen zoals overschrijven en instellingen aanpassen
- pas en pincode voor betalen onderweg

Als je een van die zaken kwijt raakt loop je bij ING dus heel wat minder risico dan bij RABO en ABN!
Zo kan een dief van pas+pincode niet de limiet aanpassen of inloggen op telebankieren.
11-10-2017, 21:16 door Anoniem
Wat dat betreft is het risico bij ING heel wat beter gespreid
Dat is op zich wel zo, echter daar ging het hier niet om. Het ging niet om betalen via ING maar inloggen bij andere (overheids-) instanties via ING.

En nog steeds is niet 100% duidelijk of daarbij wel of niet (elke keer!) een TAN-code gebruikt moet worden. Want alleen dan zou het een 2-factor inlog zijn (zoals DigID).

Zolang dat niet duidelijk is krijg je mij niet aan deze inlogmethode. Want éénmaal gekozen heb je het wel vrijgegeven.
Ik zie ook niet helemaal waarom er meerdere inlogmogelijkheden zouden moeten zijn. Alhoewel: nu niet-overheden (verzekeringsmijen, pensioenfonden) per keer moeten gaan betalen voor inloggen via DigID kan ik me er wel iets bij voorstellen dat ze een andere route zoeken.

De inlog naar de SNS mbv een niet aan de computer gekoppeld rekentuigje en met een eigen te kiezen pincode (max 3 x fout in te voeren) is wat dat betreft een zeer veilige methode. Alleen doen die (voorzover mij bekend) nog niet mee aan IDin, heb er althans geen bericht van ze over gehad. Grote voordeel is dat, al verlies je je pinpas, ze toch niet op je bankrekening kunnen inloggen.
11-10-2017, 23:25 door Anoniem
Niet lezen hoor, hierboven die link van 24-2-2017 17:58.
Want daar stond het antwoord al in over wel of geen TAN bij iDin.
Niet lezen hoor, die 2 blauwe links daar!
Ga maar lekker onbenullig door blijven kletsen en filosoferen. (saai...)
12-10-2017, 21:50 door Anoniem
Bij geen van beide links is met zekerheid te vinden dat er TAN-codes gebruikt worden.

Uit de link naar de Idin zelf valt al helemaal niets op te maken, daar staan alleen links naar de aangesloten organisaties (waar ook weer niets over TAN-codes staat).

Het valt me trouwens op dat het lijstje niet meer organisaties bevat dan in februari. Loopt niet echt hard dus. Behalve de belastingdienst zit er niets bij waar ik wat aan zou kunnen hebben. Dat ligt bij DigID wel even anders. Daarmee kan ik bij het SVB, mijn pensioenfonds, 'mijn' zorgverzekering en nog meer inloggen.

En waarom zou ik ook? Waarom moet er elke keer het wiel 10 keer uitgevonden worden, ieder op zijn eigen krikkemikkerige manier? Om dat dan te verbeteren, dat wel, ,aar ondertussen heb je wel zoveel aparte systemen.

Het lijkt de pakketbezorging wel. Als ik iets bestel weet ik nooit waar het pakket mee bezorgd zal worden. PostNL, GLS, TNT, DHL, DPD, UPS, etc. Ieder met zijn eigen Track&Trace, ieder met zijn eigen mailtjes. Overal sta ik inmiddels in geregistreerd, want de webshops geven doodleuk de mailadressen door aan de bezorgende organisatie. Puinhoop is het.

En zo wordt het dus ook bij de inlogmethodes. Ik meen dat er inmiddels 4 verschillende mogelijkheden zijn in te loggen bij de belastingen (waarvan 2 pilots)... Geld besparen noemen ze dat, mag de burger uiteindelijk betalen.
12-10-2017, 22:10 door Anoniem
heeft de overheid nu echt geen hackers in dienst?

neem Hitmanpro.Alert gratis of betaald

bij ing krijg je die voor 12.50

ing ondersteund ook geen linux

terwijl die toch echt veiliger is dan windows of apple
13-10-2017, 09:12 door Anoniem
Door Anoniem:
Wat dat betreft is het risico bij ING heel wat beter gespreid
Dat is op zich wel zo, echter daar ging het hier niet om. Het ging niet om betalen via ING maar inloggen bij andere (overheids-) instanties via ING.

En nog steeds is niet 100% duidelijk of daarbij wel of niet (elke keer!) een TAN-code gebruikt moet worden. Want alleen dan zou het een 2-factor inlog zijn (zoals DigID).

Wacht even "een 2-factor inlog zoals DigID" dat is OOK te kort door de bocht want dat is bij DigID ook optioneel.
Waar kennelijk jouw kritiekpunt zit is dat de verwerker van de informatie beslist of 2nd factor authenticatie nodig
is voor de toepassing. Die kritiek heb ik vaker gehoord, wellicht zou je bij DigID willen kunnen instellen dat je altijd
2nd factor wilt ook als de verwerker het niet eist.
Maar dat is dan dus niet iets nieuws voor IDin. En het moet ook ergens anders worden opgelost dan bij de bank.
13-10-2017, 11:12 door Anoniem
Door Anoniem:
De enige bank heeft het beter voor elkaar dan de andere? :-) Verklaar?

ING - Geen 2FA voor inloggen
Rabo - Wel 2FA voor inloggen, via Rabo Scanner

Duidelijk voorbeeld toch ?
En als iemand je code en bankpasje steelt.
13-10-2017, 20:53 door Anoniem
Door Anoniem: Bij geen van beide links is met zekerheid te vinden dat er TAN-codes gebruikt worden.

Uit de link naar de Idin zelf valt al helemaal niets op te maken, daar staan alleen links naar de aangesloten organisaties (waar ook weer niets over TAN-codes staat).

Het valt me trouwens op dat het lijstje niet meer organisaties bevat dan in februari. Loopt niet echt hard dus. Behalve de belastingdienst zit er niets bij waar ik wat aan zou kunnen hebben. Dat ligt bij DigID wel even anders. Daarmee kan ik bij het SVB, mijn pensioenfonds, 'mijn' zorgverzekering en nog meer inloggen.

En waarom zou ik ook? Waarom moet er elke keer het wiel 10 keer uitgevonden worden, ieder op zijn eigen krikkemikkerige manier? Om dat dan te verbeteren, dat wel, ,aar ondertussen heb je wel zoveel aparte systemen.

Het lijkt de pakketbezorging wel. Als ik iets bestel weet ik nooit waar het pakket mee bezorgd zal worden. PostNL, GLS, TNT, DHL, DPD, UPS, etc. Ieder met zijn eigen Track&Trace, ieder met zijn eigen mailtjes. Overal sta ik inmiddels in geregistreerd, want de webshops geven doodleuk de mailadressen door aan de bezorgende organisatie. Puinhoop is het.

En zo wordt het dus ook bij de inlogmethodes. Ik meen dat er inmiddels 4 verschillende mogelijkheden zijn in te loggen bij de belastingen (waarvan 2 pilots)... Geld besparen noemen ze dat, mag de burger uiteindelijk betalen.

Staat er wel:
https://www.ing.nl/particulier/mobiel-en-internetbankieren/online-identificeren/index.html
... en bevestig het versturen van de gegevens via MijnING met een TAN-code.
14-10-2017, 10:39 door Anoniem
Door Anoniem:
En waarom zou ik ook? Waarom moet er elke keer het wiel 10 keer uitgevonden worden, ieder op zijn eigen krikkemikkerige manier? Om dat dan te verbeteren, dat wel, ,aar ondertussen heb je wel zoveel aparte systemen.

Het lijkt de pakketbezorging wel. Als ik iets bestel weet ik nooit waar het pakket mee bezorgd zal worden. PostNL, GLS, TNT, DHL, DPD, UPS, etc. Ieder met zijn eigen Track&Trace, ieder met zijn eigen mailtjes. Overal sta ik inmiddels in geregistreerd, want de webshops geven doodleuk de mailadressen door aan de bezorgende organisatie. Puinhoop is het.

En zo wordt het dus ook bij de inlogmethodes. Ik meen dat er inmiddels 4 verschillende mogelijkheden zijn in te loggen bij de belastingen (waarvan 2 pilots)... Geld besparen noemen ze dat, mag de burger uiteindelijk betalen.

ja dat is het nadeel van de vrije markt economie ten opzichte van een systeem van nutsbedrijven.
"we" willen kennelijk een vrije markt met concurrentie maar dat betekent wel dat iedere concurrent zijn of haar eigen
producten gaat ontwikkelen en proberen de race te winnen. terwijl de race gaande is zit je als consument te kijken
en als je niet van kijken naar races houdt dan is dat geen leuke positie.
uiteindelijk vallen er een paar uit en komen er maar 3 op het podium waarvan 1 winnaar, had je een andere gekozen
dan kun je alsnog omschakelen en overstappen. echter, als er nog maar 1 over is zien weer anderen hun kansen
en komt er een nieuwe race.

als je niet van dit systeem houdt dan was je beter af met een staatsbedrijf der posterijen, telegrafie en telefonie
wat alles voor je regelt. maar daar hoor je dan ook weer vaak kritiek op, dat is dan een monopolie en het zou
de prijzen verhogen (ik denk dat men hoge prijzen door toen nog duurdere technologie en hogere/lagere prijzen
door kruissubsidie niet los weet te zien van lagere prijzen door concurrentie, maar dat is een ander verhaal)

een nieuw "staatsbedrijf voor informatiebeheer" zou een hoop gezeur kunnen oplossen, maar ik vrees dat er zeker
op dit forum toch een hoop mensen tegen zouden zijn.
14-10-2017, 12:05 door Anoniem
een nieuw "staatsbedrijf voor informatiebeheer" zou een hoop gezeur kunnen oplossen, maar ik vrees dat er zeker
op dit forum toch een hoop mensen tegen zouden zijn.
Mischien geen gek idee we hebben ook een staats leger, en daar ben ik heel blij om.
25-04-2018, 09:54 door Anoniem
Er wordt vel reclame gemaakt voor IDIN. Het is een Amerikaanse app, wordt door banken en ondernemers onder de aandacht gebracht, allemaal om rillingen van te krijgen. Als zoiets gebeurt, dan past hier gezonde argwaan.
25-04-2018, 11:57 door karma4
Door Anoniem:
een nieuw "staatsbedrijf voor informatiebeheer" zou een hoop gezeur kunnen oplossen, maar ik vrees dat er zeker
op dit forum toch een hoop mensen tegen zouden zijn.
Mischien geen gek idee we hebben ook een staats leger, en daar ben ik heel blij om.
Bestaat al, heet logius.https://www.logius.nl/over-logius Die vinden idin prachtig, digid is veel te moeilijk en te duur.
25-04-2018, 12:01 door Anoniem
Door Anoniem: Voor alle mensen die claimen dat je nu bij de Belastingdienst of je zorgverzekeraar kunt inloggen met alleen je gebruikersnaam/wachtwoord, al geprobeerd?
Dat kan namelijk niet, dit werkt gewoon via TAN-codes. Twee factor dus. Ik had van gebruikers van security.nl toch iets meer kennis van zaken verwacht. Jammer.

Ik zat mij er ook al een beetje op te verbijten... Het lijkt mij logisch (assumption is the mother of all fuckups, i know), dat logius/belastingdienst vereist dat je een 2e factor toepast bij het inloggen. De data is te hoog geclasificeerd om zonder 2e factor bij te kunnen. Bij de bank moet je ook een tan invoeren bij een betaling, al dan niet vanaf een bepaald bedrag.
25-04-2018, 18:03 door Tha Cleaner
Door Anoniem: Zoveel domheid van deze bank moet ik even verwerken...
Net zoals je reactie?

Door Anoniem: Geblaat hier tegen topicstarter is onrechtvaardig.
ING is de boosdoener: ze zouden duidelijker moeten communiceren door te vermelden hoe het zit met de TAN-codes.
Dat hoort een bank zélf te vermelden en daar hoor je niet om te moeten zoeken.
Ze hadden beter kunnen communiceren. Maar nergens wordt gesproken dat er ingelogd met alleen een userid/password en of tan codes.

"Met iDIN kunt u zich bij steeds meer websites veilig en op dezelfde manier identificeren. U gebruikt namelijk de inlogmethode van Mijn ING."

[quote[En ik geeft topicstarter helemaal gelijk dat hij niet meteen aanneemt wat een forum zegt.[/quote]Normaal werken we liever met feiten. En de informatie is heel gemakkelijk te vinden op de ING site. Dus TS begint liever te blaten, terwijl de informatie binnen seconden te vinden is op de website van de ING bank.
26-04-2018, 07:50 door Anoniem
Door Anoniem: Vergaand zou een kwaadwillend persoon zijn achternaam nog kunnen wijzigen bij zijn gemeente.
Dat is aan strenge voorwaarden verbonden. Het mag maar in een beperkt aantal situaties, je mag niet zomaar elke naam uitkiezen (hij mag bijvoorbeeld nog niet in gebruik zijn en moet lijken op je huidige achternaam), het kost meer dan 800 euro en de doorlooptijd van de procedure is 20 weken. Geen realistisch scenario, dit.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.