SNS

inloggen met digicode / veiligheid hiervan

  • 3 mei 2014
  • 11 Reacties
  • 35705 Keer bekeken

l.s.,

Ik maak mij ernstig zorgen over de veiligheid van de constructie om met een username/wachtwoord-combinatie (digicode) in te kunnen loggen op mijnSNS.

Voordat iedereen losgaat:
- ja, ik heb de verschillende threads hierover gelezen op dit forum
- echter: het gemiddelde antwoord op geuite zorgen luidt: "oh maar je kunt als "hacker" toch alleen interne (ie naar je eigen rekening) overboekingen doen. Dus geen probleem wat de SNS betreft."
- dit is een zeer onbevredigend antwoord dat voorbij gaat aan de kern van de problematiek. 

Mijn achtergrond: Afgeronde academische opleiding in de ICT en onderstussen 15 jaar werkervaring in dit vakgebied, op mijn werk deelverantwoordelijk voor de IT-security van 3000+ medewerkers. Ik ga ervan uit dat SNS kundige ICT-ers in dienst heeft en dat de keuze om niet een veiliger inlogsysteem á la DigiD (b.v. username/wachtwoord icm SMS of een ander OTP) te implementeren vooralsnog een financiële afweging is van de SNS. Toch zou ik een beroep willen doen op het verantwoordelijke management in dezen en ze de volgende afwegingen mee willen geven (dus @moderator: neem dit issue serieus, ik hoop dat mijn verhaal bij de relevante mgmt-laag terecht komt):

- bij username/wachtwoord beveiliging van logins is het niet de vraag óf maar wannéér zo'n systeem gehackt wordt, het is aantoonbaar inherent onveilig
- ook al kan je als hacker "alleen" rekeningen inzien en interne boekingen doen, denk aan de imagoschade die de SNS in een dergelijk geval oploopt: screenshots van gehackte rekeningen in de (social) media gaan de SNS geen goede naam bezorgen.
- neem die imagoschade (weglopende klanten, klanten die de pinautomaten bestormen, ...)  mee in de totale afweging (business case zo je wil) om een beter beveiligingssysteem te implementeren

Mijn hoop is dat dit issue zsm serieus wordt opgepakt door de SNS.

Groet

11 reacties

2 gedachtes;
  • volgens mij kun je inmiddels wel degelijk ook overboeken naar rekeningen van anderen (ik meen; indien al 1x met digipas overgeboekt). Max. €500?
  • pincodes met 16 tekens wordt als matig veilig beschouwd, 4 is dus inderdaad miniem. (mijn bank in DE gebruik het ook om in te loggen bij internetbankieren)
Groet,
Ben 🆒
PS De Mods nemen volgens mij alle bijdrages serieus.
Badge +1
Hallo Tms5d,

Bedankt voor het delen van je bezorgdheid over de veiligheid van internetbankieren. Zoals Ben ook aangeeft, nemen wij dit uiteraard serieus. Zelf heb ik geen ICT-achtergrond; vandaar dat ik je bevindingen voorleg aan onze IT'ers die zich bezighouden met de beveiliging van internetbankieren. Zodra ik terugkoppeling heb, laat ik het weten.

@Ben Dank voor je toevoeging. Volgens mij doel jij op de app? Met de app is het inderdaad mogelijk om -tegenwoordig ook zonder digipas- per dag een overboeking te doen tot €500,- .

@Ben Dank voor je toevoeging. Volgens mij doel jij op https://"http://www.snsbank.nl/particulier/klantenservice/mijn-sns/bankieren-met-je-mobiel.html?promo=NBp2_me3-ib_app"? Met de app is het inderdaad mogelijk om -tegenwoordig ook zonder digipas- per dag een overboeking te doen tot €500,- .

Ik dacht dat dit ook zo is bij het inloggen met digicode bij MijnSNS?
Groet,
Ben 🆒
Reputatie 3
Badge +1
Hi Ben, hieronder vind je de daglimieten van de digicode:

Overboeken met een digicode

€ 250.000 bij overschrijvingen tussen je eigen SNS Rekeningen.
€ 50.000 bij overschrijvingen naar je vaste tegenrekening bij een andere bank.
Je kunt niet overboeken naar rekeningen van een ander.

De daglimiet van de digicode kun je niet aanpassen.
Hi tms5d,

Inmiddels hebben we een antwoord ontvangen van onze IT-afdeling. Fijn dat je op deze manier kritisch meedenkt en helpt om onze dienstverlening te verbeteren.

SNS Bank is zich bewust van de eigenschappen van de digicode (gebruikersnaam en wachtwoord) en de risico’s die daaraan zijn verbonden. Naast de digicode hebben we jaren geleden ook de digipas geïntroduceerd voor onze klanten. We hebben ervoor gekozen om – met jouw achtergrond zal je dat ongetwijfeld bekend voorkomen – een model van gelaagde beveiliging te hanteren. De handelingen met een hoger risico plaatsen we daarom bewust achter de digipas, overige handelingen zijn met de digicode of app + mobiele pincode mogelijk. Hierbij maken we niet alleen financiële afwegingen, maar zorgen we voor een goede balans van gebruikersvriendelijkheid en kosten.
Dank @SNS voor het heldere antwoord. Ik snap de afweging, ik zou het zwaartepunt zelf meer aan de beveiligings- dan nu aan de gebruikersgemak-kant leggen. Bij DigD (username/password icm sms) werkt dit immers ook prima qua hoeveel extra handelingen je moet verrichten (eentje). In hoeverre adviseert DNB nog in dezen, wat is hun advies en zijn hun aanbevelingen bindend?

groet
Hi Tms5d,

Naar aanleiding van je vraag hebben we vernomen dat we geen uitspraken kunnen doen over standpunten/adviezen van toezichthouders (zoals DNB). Dit zijn afspraken tussen SNS Bank en DNB.
is goed zo
is goed zo duurt te lang
Andere mogelijkheid: de zaak zo organiseren dat het verschil in toegestane acties tussen digicode en digipas groter wordt. Bijvoorbeeld met digicode alleen raadplegen en community, geen transacties.
Badge +1
is goed zo duurt te lang
Goedemiddag Ppinckaers,

Welkom op de community. Wat vind je dat er te lang duurt?

Om wegwijs te worden lees je het topic Welkom op de community door. In de Koffiekamer kom je meer te weten over andere leden en stel je jezelf voor.

Reageer