Consumentenbond.nl

Ik snap niet dat mensen nog bij de ING blijven...

  • 8 september 2019
  • 12 reacties
  • 1540 Bekeken

Beste community,

Mijn inzending is beslist gerelateerd aan de uitzending van Kassa afgelopen Zaterdag maar dat was enkel de aanzet voor mij om een reactie op een consumentenforum te plaatsen. De onderliggende reden voor mijn reactie is het recentelijk overlijden van mijn vader... ik heb de taak op mij genomen om mijn moeder een beetje door deze ellendige periode heen te loodsen en een van deze taken is het overzetten van alle vaste lasten en het (indirecte) beheer van de ING rekening van mijn vader, voornamelijk omdat alles via Internet ging en mijn moeder hier nog niet goed mee bekend is (maar wij werken hieraan!).

Ikzelf werk al jaren binnen de I(C)T sector en ik was ronduit geshockeerd toen ik ontdekte dat het enige wat je nodig had om op je bankrekening in te loggen een gebruikersnaam & wachtwoord was. That's it! En uiteraard had mijn vader nou niet bepaald een geweldig wachtwoord gekozen (voor de goede orde: er is nooit iets fout gegaan, maar toch...).

Dit is enige weken aangepast en nu heb je een TAN code nodig voordat je in kan loggen. Maar zoals ook te lezen in het inlog scherm: het was niet de drang naar meer veiligheid om dit in te voeren, welnee: deze wijziging is ingevoerd vanwege vernieuwde Europese wetgeving.

Ofwel, mijn simpele conclusie: de ING doet duidelijk geen moeite om een volstrekt achterhaald systeem aan te passen aan de huidige veiligheidsnormen behalve als dit van hogerhand (= overheid) wordt gedirigeerd. En daar kan ik met mijn verstand dus absoluut niet bij.

En over die TAN codes gesproken... Het gaat dan nu via SMS (wat theoretisch ook te onderscheppen is) maar feit blijft dat de TAN codes een sequentieel geheel is. Ofwel: het is een lijst aan codes in een vaste volgorde en een die al bij voorbaat bekent is. Ook ik heb jaren geleden bij ING gebankierd, in de tijd dat je iedere keer dat je dit nodig had een lijst met afgedrukte TAN codes ontving en dus die codes een voor een moest gebruiken om je transacties te autoriseren.

Niet bepaald een veilige gedachte vind ik, temeer omdat ik ervan overtuigd ben dat de controle op deze code beslist niet middels een zogeheette "HASH" gaat (nee, dit heeft niks met verdovende middelen te maken) maar gewoon een "een op een" controle is. Dit concludeer ik uit mijn ervaringen met de ING tot nu toe en het feit dat ze je deze code ook via SMS toesturen.

(HASH: kort gezegd komt het erop neer dat je niet met de echte getallen zelf werkt maar een representatie van die getallen. Dit is veiliger omdat de feitelijke getallen nooit herleid kunnen worden via de representatie. Zie de link naar de (Nederlandse) Wikipedia pagina voor meer informatie).

EN uiteraard is de "QR ellende" koren op mijn molen maar hier ga ik me niet over uitlaten, simpelweg omdat ik hier geen persoonlijke ervaring mee heb. Wel wil ik kwijt dat dit geheel mij dus echt helemaal niks verbaast.

Ik weet dat ik mij vrij negatief uitlaat, en dat zelfs middels een eerste bericht, maar ik kan mijn mening met glasharde feiten onderbouwen (zie boven) en dus snap ik echt niet dat er nog mensen zijn die hier nog willen bankieren.

Als IT kenner met zeker 20 jaar praktijk ervaring ben ik van mening dat de ING zijn veiligheid beslist niet op orde heeft. Niet alleen vanwege die QR affaire maar vooral vanwege de jarenlange laksheid om de eigen systemen aan te passen en verbeteren. Op zijn minst had ik "2 factor autorisatie" verwacht, maar neen: enkel een gebruikersnaam & wachtwoord voor je bij je gegevens kan! 🤤 En dit werd alleen maar aangepast "omdat het moest van Europa", dus zeker niet om de klanten de veiligheid te bieden waar zij op rekenen en ook voor betalen!

(2 factor autorisatie: Dit is een methode waar je je op meerdere platformen aan moet melden om ergens toegang toe te krijgen. Bijvoorbeeld: je meldt je aan met een gebruikersnaam & wachtwoord en daarna moet je opnieuw met behulp van een ander apparaat (zoals een GSM) een code opgeven. Dit is wat de ING momenteel gebruikt, alleen jammer dat het met sequentiële TAN codes gaat (= codes die al van te voren vastliggen)).


Voor mijzelf speelt dit alles niet meer, ikzelf ben een goede 10 jaar geleden al "gevlucht" toen het nog Postbank was en men doodleuk mijn rekening eens had geblokkeerd "omdat" (edit: Ik zou bij een pinautomaat in Wageningen hebben gepind die 'geskimd' was. Je reinste flauwekul want die automaat stond buiten bij de Albert Heijn terwijl ik binnen geld had gehaald!) ... en vervolgens kon ik dus 2 weken niet meer bij mijn geld. "Vaste lasten? Dat is ons probleem niet!".

En mijn moeder? Ik ben domweg opgelucht dat zij zich kan vinden in mijn mening en ook heeft besloten een eigen nieuwe rekening te openen bij een "andere" bank. Eentje die wel (aantoonbaar) zijn zaakjes op orde heeft. Voor de goede orde: ik laat mij bewust niet uit over de naam van die bank want dan zou dit mijns inziens een oneerlijk stukje worden. Temeer omdat ik weet dat er meerdere banken zijn die hun beveiliging (veel) beter op orde hebben dan de ING.


Bedank voor het lezen, bedankt voor mogelijke reacties en bedankt dat ik mijn mening even kan ventileren.

12 reacties

Grappig, als u wilt weten wat er leeft kan ik u de volgende topic
https://community.consumentenbond.nl/geld-verzekeringen-6/ing-stopt-met-tan-codes-16269 aanraden.
@A. Deen Die topic is mij bekend, en ik ben bezig deze een beetje door te lezen, maar ja.. 17 paginas doornemen duurt even ;)

De reden dat ik dit niet daar heb geplaatst is omdat die thread voornamelijk om TAN gaat terwijl mijn reactie ietwat breder is. Hoe dan ook: bedankt voor de verwijzing!
Reputatie 7
Badge +6
Over die TAN is al zoveel gezegd zoals blijkt uit de verwijzing van Deen . Dat loopt nu op zijn eind . Toch heb ik in tegenstelling tot de papieren versie , over de TAN per SMS nooit gehoord dat het onveilig was . Wel was het raar dat met alleen gebruikersnaam en wachtwoord in te loggen was . Daar is nu ook de QR aan toegevoegd . Nu blijkt bij de invoering van die QR ( omdat dit volgens hun veel veiliger is ) dat er WEL ernstige veiligheidsproblemen waren en weigerde ING de gedupeerden schadeloos te stellen . Pas nadat Kassa er gisteren mee op de TV kwam , hebben ze dat alsnog toegezegd en zijn er extra veiligheden ingebouwd ( zeggen ze ) . Ook waren ze zo laf om niet in de uitzending uitleg te willen geven , waarop Kassa besloot om hun op te zoeken voor een reactie. Leren ze het dan nooit bij die bank?
Reputatie 7
Mijn problemen met die -/(€&?)#%$(lelijk woord) bank staan ook ergens op het forum.
Reputatie 7
Badge +7
Ik ben me ook nog aan bedenken over wel of niet blijven bij de ING. Er is daar veel mis. Ik heb ook meegedaan aan alle overige topics over de ING, ik heb er zelfs zelfs één gemaakt meen ik, omdat ING niet meer werkte met Internet Explorer en Edge. Toen ben ik voor hen nog naar Chrome gestapt, maar het kan te gek worden. Wat weerhoudt me, ja ING dat was vroeger de Postbank, de Giro, er was niets anders. Nog steeds loopt veel automatisch over de Giro, dus de ING, of NN enz. Ik moet echt alles gaan overgooien. En dan waarnaar toe. Ik ben op het platteland gaan wonen, al 45 jaar geleden. Daar was de Rabo dé bank. Iedere plaats een bank en een automaat. Weet u wat er nog over is, NIETS. En ze hebben allemaal wel wat. Ik ben dus in grote twijfel. Groeten Leo.
@ShelLuser
Ik ben sinds eind vorig jaar niet meer bij de ING, na ca. 50 jaar trouwe dienst.
Ik had een vraag en kwam er achter dat ING geen email van klanten meer wenste te ontvangen.
Ook het gedoe met de tan-codes en het opdringen van mobiel bankieren waren factoren bij mijn beslissing.
https://community.consumentenbond.nl/geld-verzekeringen-6/ing-wil-geen-email-meer-17472

Ik heb nu soortgelijke problemen met de Rabobank.
Geen email alleen nog maar contact via Facebook, Twitter of een of andere chat.

Ik heb vele malen feedback gegeven en nooit enige reactie gekregen.
Toen het adresboek bij de Rabobank om zeep werd geholpen was voor mij de maat vol.
Voorheen kon ik zelf bepalen wat er niet of wel in het adresboek werd opgeslagen, maar dat was allemaal weggegooid door de Rabobank en opeens zag ik allemaal adressen van soms 15 jaar geleden, met oude bankrekeningen die door de Rabobank waren geconverteerd naar IBAN bankrekeningen, die geen van allen klopten, wat een puinzooi.

Emailen kon niet meer, maar ik heb op de site van de Rabobank een formulier gevonden waarin ik een klacht kon indienen, de bevestiging van mijn klacht kwam … per email.
Enkele dagen later werd ik gebeld tegen etenstijd, mijn maaltijd stond in de magnetron.
Ik kreeg – uiteraard – geen antwoord op mijn vraag waarom het adresboek was veranderd, maar een uitleg hoe het werkte, maar dat had ik zelf al lang uitgevonden.
Dat de Rabobank geen email wilde lag volgens de spreekster er aan dat email niet veilig was, terwijl de ING als smoesje had dat ze een moderne bank wilde zijn.

Ik heb ca. 30 jaar ervaring in ICT en heb nog geprobeerd uit te leggen op welke punten de Rabobank Internet bankieren en mobiel bankieren zou kunnen verbeteren, maar de hittepetit bij de Helpdesk wist alles beter, terwijl,ze zelf toegaf niets van ICT te weten, dus toen mijn maaltijd klaar was heb ik het zinloze twistgesprek maar beeindigd.

De grote banken richten zich alleen nog maar op klanten die op sociale media zitten.
Daarom proberen ze hun bankieren apps te laten werken als sociale media.
Men is vooral gericht op het imago en het verbeteren van mobiel bankieren op je smartphone/tablet door (nog?) fraaiere kleuren en (nog?) fraaiere schermen.
In hoeverre de apps functioneel werken is niet belangrijk meer, het is allemaal marketing.
Ook de helpdesk is alleen nog maar gericht op propaganda en hoe fantastisch de bank is waar je naar toe belt, op echte vragen hebben ze geen antwoord en ze kunnen alleen maar voorlezen wat er reeds ergens op de website vermeld staat, als ze het kunnen vinden.
De bedoeling van banken is tegenwoordig dat ze zoveel mogelijk likes binnen krijgen.

Wat betreft beveiliging heb ik nooit begrepen waarom een user-id en een wachtwoord (16 posities random gegenereerd door mijn wachtwoord manager) minder veilig zouden zijn dan de 5 cijferige code op mijn tablet.
De scanner bij de Rabobank en de Triodos bank vormen een soort 2FA.
Hoe het met de scanner van de ING weet ik niet.

Ik heb pas een artikel gelezen dat in de UK bijna 20% van de mensen niet op Internet zit en van degenen die wel op Internet zitten, zijn er velen die slechts een (heel) beperkte kennis van Internet hebben.
Ik denk dat de situatie in Nederland niet veel anders is.

Ja, je hebt dus gelijk dat de veiligheid bij Internetbankieren zeer krakkemikkig geregeld is.
Maar de banken hebben geen enkel belang bij een goede beveiliging, want dan wordt de toegang voor hun klanten een stuk moeilijker en dat kunnen vele klanten niet aan.
De meest klanten geloven alles wat hun bank beweert, ze hebben ook de kennis niet in huis om te doorzien dat de bank met allerlei smoesjes probeert ze om de tuin te leiden.

Ik denk dat mensen boven de 50 beter de grote banken kunnen gaan mijden, want die richten zich alleen nog maar op mensen die op sociale media zitten en de banken zijn zelf ook een soort sociale media aan het worden.

Ik ben van de ING overgestapt op de Triodos bank, die heeft wel email.
Ik ben bezig vele zaken van de Rabobank (vooral sparen) over te hevelen naar de Regiobank (mede door opmerkingen in mijn onderwerp over de ING).

Ik kan prima bankieren op mijn desktop (en laptop) en mijn tablet, maar ik word horrendol van telkens maar weer wijzigingen die alles weer net even anders maken en dat meestal alleen maar omdat iemand vindt dat het er net iets smeuiger uitziet.
Reputatie 6
Badge +2

De grote banken richten zich alleen nog maar op klanten die op sociale media zitten.
Daarom proberen ze hun bankieren apps te laten werken als sociale media.


Dat is het punt. De grote bedreiging voor de banken zijn Google en Facebook. Het risico is dat klanten blijven hangen in de oude PC/TAN code wereld en tegelijker tijd spelenderwijs stap voor stap gaan bankieren via Facebook of Google. Over pakweg 5 jaar hebben Google of Facebook dan de markt en zijn de banken niet meer relevant voor het betalingsverkeer. Ik denk dat ING probeert om dat voor te zijn.
Badge
Wat een discussie.
Op zich vind ik het prima dat er zo wordt gediscussieerd. gelukkig zinder veel ongewenste vormen.

Dat als inleiding...
Ook ik heb ICT ervaring. Vooral bij grote sites , zoals de banken en de verzekeringen. Mijn rol daarin was adviserend op het terrein van de infrastructuur.
Daar heb ik geleerd hoe complex het is met grote sites om te gaan. Een van de problemen, die erbij ontstaan, is het gegeven, dat er zoveel zielen zijn, die elk hun eigen vreugd wensen te beleven.
Dat gegeven speelt de Nederlandse bankwereld ook parten. De banken moeten al hun gebruikers ten dienste staan en dat lukt niet altijd. De diversiteit aan wensen ligt daaraan geheel ten grondslag.

Begrijp goed dat een helpdesk vriendelijk, maar volgens strakke stramiens moet werken. Dat eerste lukt niet altijd (helaas, maar menselijk).

Terug naar het uitgangspunt: de veiligheid.
Natuurlijk is het van het hoogste belang dat banken veilig zijn. Ik ben ervan overtuigd dat de Nederlandse bankwereld daarin behoorlijk vooroploopt. Dat kan ook niet anders want de automatisering in die wereld was een van de eerste ter wereld, die met geavanceerde systemen wist om te gaan. Mijn eigen ervaring daarin: Het hoge woord is eruit, was bij de Postgiro. dat wil niet zeggen, dat ik het huidige systeem ideaal vind. Met name de gesuggereerde tweeweg authenticatie zou een goede verbetering zijn. Maar de vraag die daarbij opkomt is weer terug te voeren op de klantdiversiteit. Wat doe je met klanten, die geen smartphone hebben? Wat doe je sowieso met ouderen, die geen pc kennis hebben?
Allemaal vragen (en nog veel andere!), die de banken zich dagelijks zullen stellen, wanneer er sprake is van verbeteringen in de veiligheid.

Mijn adives: Wacht rustig af op wat de toekomst gaat brengen en blijf kritisch kijken naar de internetwereld in zijn totaliteit.
Reputatie 6
Badge +5
Voor banken is het, zolang de schade mee valt doen we er niets aan.

Werken met een QR is voor heel veel mensen een soort hocus pocus.
2FA verbetert de zaak.
Maar de telefoon als de 2e factor is een hele zwakke beveiliging.
TAN via SMS is heel erg zwak, als je de telefoon niet goed beveiligd hebt.

Ook de ABNAMRO heeft een veel te simpele beveiliging.
Gewoon je pasje en je pincode en je hebt toegang tot alles.
Het kastje waar de pas in moet is universeel.
Het is dezelfde pas en pincode die je in alle winkels gebruikt.
Badge
Tegenwoordig moet ik via mijn telefoon inloggen op de ING app om mijn betalingen te voldoen. Iedereen zeg dat TAN code onveilig is maar volgens statisitiek is die juist veiliger:
Vroeger werd willekeurig een TAN code uit de lijst van 6 cijfers gevraagd ver betaalbevestiging, nu moet ik via een pin code van mobiel app van 5 cijfers betalingen goedkeuren. Welke is route is het snelst gehackt: 5 cijfers altijd dezelfde (kans is 1 0p 100.000 meerdere malen te herhalen), of 6 cijfers altijd anders (1 kans van 1 op 1.000.000)?
De beste beveiliging is regelmatig wijzigen van wachtwoord welke lang moet zijn. Want hoe langer he wachtwoord hoe veiliger, iets wat iedere beveiligingsexpert zal bevestigen..
Nee, de zwakste schakel zijn wij zelf, met al deze aanpassingen wordt het moeilijker gemaakt om via internet nog te bankeiren. Misschien weer terug naar papieren transacties met een handtekening. Dat systeem had weinig problemen met hackers.
Bovendien hebben alle grootbanken een beveiligingsprobleem. Zo kan bij ABN-AMRO en haar dochters contactloos betalen niet worden uitgezet, Wat bij alle andere banken wel lukt.
Hun argument was dat het velilig is want er was nog nooit mee gehacked!
Misschien een voorstel om alle IT afdelingen van de banken bij elkaar komen om samen beveiliging te bepalen. Ik denk daarbij aan een hash code waarbij het id apparaat waarmee ingelogd wordt gebruikt wordt voor de generatie. Deze stuurt de bank applicatie naar de bank waar het apparaatis is aagemeld tijdens de registatrie van internet bankieren..Dit nadat de gebuiker zich heeft aangemeld.
Dan kan alleen vanaf dat apparaat worden gebankierd, Tijdens registratie wel via 2 factor authentication aanmeldien.
En wachtwoorden van ten misnte 15 tekens met juiste sterkte (11111111111111111 is dus niet toegestaan want niet sterk genoeg) en verplicht elke 2-3 maanden een nieuw wachtwoord.
Het moet voor de gebruiker wel eenvoudig zijn maar moeilijk voor een kwaaswillende.
Reputatie 6
Badge +4
ik denk niet dat een handtekening veiliger is dan een pincode.... dus die kant moesten we maar niet op.

bij mij moet mijn telefoon al geregistreerd zijn om iets te kunnen. Ik zie het nut ook niet in van 1 systeem voor alle banken, veel te moeilijk om tot overeenstemming te komen.

Het probleem bij dit soort zaken is altijd dat wij als consument het makkelijk willen hebben maar dat het wel veilig moet. Die balans is erg moeilijk.
Reputatie 6
Badge +5

En wachtwoorden van ten misnte 15 tekens met juiste sterkte (11111111111111111 is dus niet toegestaan want niet sterk genoeg) en verplicht elke 2-3 maanden een nieuw wachtwoord.
Het moet voor de gebruiker wel eenvoudig zijn maar moeilijk voor een kwaaswillende.


Veel klanten hebben al moeite met een pincode van 4 cijfers.
Aan de bovenstaande tekst zie ik, dat je zelf ook moeite hebt om woorden juist in te typen.
Als je dan ook nog om de 10 weken moet veranderen gaan veel klanten van de bank het wachtwoord op een briefje zetten.

Die kans berekening is ook zinloos als je het aantal pogingen gaat vertragen of beperken.
Uitproberen maakt weinig kans op die manier.

Lange wachtwoorden zijn soms zinvol, maar om een heel andere reden.

Contactloos betalen is bij ABNAMRO verzekerd.
Na €50 moet je je pincode gebruiken.

Reageer