Nefertari schreef:Niet "iedereen kan zich vinden in inlog met SMS" zoals voorgesteld wordt door bepaalde gebruikers.
En ik sta niet alleen met deze mening.
Hierover, en over het verplichte gebruik van een GSM voor inloggen bij sommige banken, werd op spaargids.be reeds meerdere keren negatief gereageerd.

Wel, wat mezelf betreft, onlangs volgend probleem gehad:
Wou voor de kids zo'n "Start2save4" openen bij KBC. Geen probleem. Maar ik had nog geen KBC-kaart (wel een slapende spaarrekening met wat kleingeld op). Ook geen probleem. Kaart wordt mij toegestuurd. Maar dan kwam het probleem. Om de kaart te activeren, moest ik naar een bepaald nummer (4 digits) SMSn. Ik zou dan een SMS met mijn pincode krijgen. Eén klein probleem... Ik heb alleen een GSM van het werk, en "rare nummers" zijn geblokkeerd. Dat is soms onhandig (kan bvb niet meer betalen via telefoon voor parkeren), maar in dit geval dus echt wel... Een probleem. Gelukkig bood KBC ook een lang (buitenlands) nummer aan, en zo is het uiteindelijk wél gelukt.

Ik wil maar zeggen, als er banken zijn die met SMSjes werken, dan word ik daar al geen klant tenzij die SMSen van een normaal telefoonnummer komen, anders kan ik ze niet ontvangen en kan ik er ook geen naar versturen.......

Gezien de hoeveelheid ongevraagde spam die je soms krijgt (en soms betalend!) via SMS-diensten, denk ik dat er wel meerdere mensen zijn die dat soort rare nummer blokkeren. Is trouwens destijds op mijn vraag gebeurd door IT, nadat ik 3 maanden na elkaar een paar euro moest betalen voor ONTVANGEN SMSen die ik nooit gevraagd had en waarop ik nooit gereageerd heb, tenzij met "STOP" (wat niet hielp). Nu krijg ik dat soort brol-SMSen niet meer, maar kan dus ook niet via SMS met 'n bank communiceren.

Heb het met sms ook voorgehad!
Verander van operator en wou inloggen bij EVI en PSA en kreeg geen sms'en door!
Heeft bijna 1 maand geduurd eer dat het opgelost was.
greetz
jempi25

Heb gisteren eens gevraagd aan een kennis die bij Symantec werkt om eens na te gaan hoe veilig de inlog procedure is bij Medirect. Vandaag liet hij mij weten dat die allesbehalve veilig is en een hacker met het gebruik van brute force hacking en keyloggers een reële kans maakt om binnen te geraken.

De tegenrekening belet idd diefstal, maar het houdt niet tegen dat een hacker financiele schade kan toerichten eens binnen.

Vandaar nogmaals mijn oproep aan MeDirect om de beveiliging van de site eens grondig te reviseren en als inlog optie 2-step verificatie met ofwel digipass (beste) of sms aan te bieden, wat de meeste banken al lang doen.

Mark01, je voert hier een kruistocht tegen een bank waar je zelfs nog geen rekening hebt. Als een bank je om een of andere reden niet bevalt ga je toch gewoon naar een andere?

Het is voor bepaalde mensen moeilijk te begrijpen dat, zelfs als anderen een overstap overwegen naar bvb MeDirect bank, veiligheid van hun wschl aanzienlijk kapitaal, een belangrijk issue is en blijft.

Zoals reeds tot vervelends toe en meermalen herhaald, is er wel degelijk een veiligheidsprobleem bij MeDirect.

Ik volg dit forum nu al enkele tijd en ben dus in hoge mate verbaasd over jouw schijnbare "bekering" tot MeDirect (maar dan op een minder veilig niveau) waar tot voor kort RABObank voor jou de enig zaligmakende instelling was.

De onwil van bepaalde "kleinere?" MeDirect clienten om zich aan te passen aan de noden van de tijd; eID, OTP via SMS of digipass al dan niet met kaartlezer, beschouw ik als een weliswaar hinderlijk achterhoedegevecht.

Bijgevolg hoop ik dat MeDirect zich niet zal laten leiden door de zure oprispingen van enkele antagonisten, die een extraveiligheidslevel als verwaarloosbaar beschouwen.

Om bestaande en would be MeDirect clienten dan maar meteen naar andere banken te sturen, getuigt enkel van een zeer enggeestige houding, die ik bijzonder afkeurenswaardig vind.

Het is nochtans simpel: Yaris heeft gelijk. "Als een bank je om een of andere reden niet bevalt ga je toch gewoon naar een andere?"

-Aanvankelijk waren veel forumleden wantrouwig omdat het om een Maltese bank ging.
(Zogezegd omdat daar te weinig inwoners zijn, terwijl Luxemburg nog geen 100.000 inwoners méér heeft dan Malta, en Luxemburg altijd goed in de markt gelegen heeft bij de Belgische spaarders!)
-Nu MeDirect onder de Belgische garantieregeling valt, vinden bepaalde forumleden een ander excuus uit.
Proberen jullie alle andere banken ook naar jullie hand te zetten?

-En waar halen sommige "niet-klanten" het idee vandaan dat MeDirect alleen maar "kleinere" klanten zou hebben?
-En geloven jullie écht dat de MeDirect-klanten niet mee zijn met hun tijd?

-Veiligheid is voor mij (zoals bij iedereen) een belangrijk issue.
Ikzelf werk momenteel het meest met de volgende banken: MeDirect, Rabobank, Keytrade, Argenta. (Ik ben aan het afbouwen bij Fortuneo en Credit Europe en ik was vroeger bij KBC.) Ik ken dus het verschil tussen de verschillende systemen en ik geloof niet dat die andere banken veiliger zijn dan MeDirect. (Ik lijd dan ook niet aan enige vorm van paranoia. )

-En ik heb zeer zeker niet de intentie om "bestaande en would-be MeDirect-klanten" naar andere banken te sturen.
Integendeel: ik ben reeds bijna 2 jaar zeer tevreden en kan MeDirect met overtuiging aanbevelen.

Ik snap die discussie over veiligheid niet. Een veilige bank bestaat gewoon niet. Hackers geraken zelfs binnen bij de FBI...

Ik zou voorstellen om het onder je matras te bewaren, maar dan bestaat de kans dat jouw vrouw/kinderen er mee gaan lopen ook niet veilig dus

mab schreef:Het is voor bepaalde mensen moeilijk te begrijpen dat, zelfs als anderen een overstap overwegen naar bvb MeDirect bank, veiligheid van hun wschl aanzienlijk kapitaal, een belangrijk issue is en blijft.

Zoals reeds tot vervelends toe en meermalen herhaald, is er wel degelijk een veiligheidsprobleem bij MeDirect.

Ik volg dit forum nu al enkele tijd en ben dus in hoge mate verbaasd over jouw schijnbare "bekering" tot MeDirect (maar dan op een minder veilig niveau) waar tot voor kort RABObank voor jou de enig zaligmakende instelling was.

De onwil van bepaalde "kleinere?" MeDirect clienten om zich aan te passen aan de noden van de tijd; eID, OTP via SMS of digipass al dan niet met kaartlezer, beschouw ik als een weliswaar hinderlijk achterhoedegevecht.

Bijgevolg hoop ik dat MeDirect zich niet zal laten leiden door de zure oprispingen van enkele antagonisten, die een extraveiligheidslevel als verwaarloosbaar beschouwen.

Om bestaande en would be MeDirect clienten dan maar meteen naar andere banken te sturen, getuigt enkel van een zeer enggeestige houding, die ik bijzonder afkeurenswaardig vind.

Bedankt @mab.. ik had het zelf niet beter kunnen verwoorden.

@Yaris en anderen.. Ik voer helemaal geen "kruistocht" tegen MeDirect.. het is een bank die mij qua aanbod zeer aanspreekt, maar ik wil hen en anderen er hier attent op maken dat hun inlogprocedure momenteel ABSOLUUT NIET VEILIG IS en dat ik hoop dat ze daar spoedig iets willen aan doen.

Het stoort mij mateloos dat bepaalde individuen de verbetering van de beveiliging van een bank met allerlei onnozele excuses proberen tegen te houden, wat gewoon nergens op slaat! Het geeft de indruk dat MeDirect als een soort marginale bank bekeken moet worden waar men de risico's maar moet bijnemen wat nu niet bepaald vertrouwen inboezemt voor iemand als mijzelf die de verantwoordelijkheid heeft over een vrij groot kapitaal.

Nogmaals, elke serieuze bank heeft vandaag de dag één of ander vorm van 2-step verificatie, dus zou ik graag van MeDirect willen vernemen of ze dit al dan niet ook willen invoeren.

Sebastiaan1985 schreef:Ik snap die discussie over veiligheid niet. Een veilige bank bestaat gewoon niet. Hackers geraken zelfs binnen bij de FBI.

Sebastiaan,
Er is een essentieel en fundamenteel verschil.
Wanneer een BANK gehackt wordt, heb JIJ daar geen fout aan, en zal je je centen recupereren.
Wanneer JOUW PC gehackt wordt, dien je aan te tonen dat je zelf niet nalatig geweest bent, en zal je mogelijks zelf opdraaien voor het verloren geld. Als men bijvoorbeeld oordeelt dat je geheime vragen te simpel waren of je pc totaal niet beschermd etc.

Om hier even in te zoomen op de eigenlijke claim, nl dat de inlogprocedure onveilig zou zijn : er wordt gegoocheld met termen als keyloggers, analyses van experts enzomeer.
Maar als ik even kijk naar het (dynamische) mechanisme dat MeDirect geïmplementeerd heeft, mag die expert mij ook eens uitleggen hoe men zuiver adh van keyloggers de credentials hier kan capturen, en dat mag dan gerust nog op meerdere sessies gebaseerd zijn.

Er zit nl ook een stuk data in die niet via het keyboard ingevoerd wordt. Kijk eens goed


Carl

De veiligheid van bankgegevens zijn topprioriteit voor ons. We vermeldden al eerder in dit topic dat we door middel van de combinatie van de 5 controlevelden en de gekoppelde rekening de veiligheid van onze klanten en hun geld verzekeren. Om keylogging te bemoeilijken moet de PIN-code bovendien ingevoerd worden zonder toetsenbord. Daarnaast voorkomen we ook brute-force hacking door middel van een 'lock-out' systeem. Wanneer een PIN, wachtwoord of veiligheidsvraag meerdere keren na elkaar foutief werden ingevoerd, wordt uw toegang tot uw rekening geblokkeerd. U kan deze enkel opnieuw activeren door contact op te nemen met onze klantendienst.

Tot slot willen we graag nog even vermelden dat we continu werken aan onze website om deze nog beter te maken, rekening houdend met veiligheid op de eerste plaats, zonder de gebruiksvriendelijkheid te vergeten. Daarbij kijken we uiteraard ook naar de commentaren die we op dit forum ontvangen.

MeDirect schreef:De veiligheid van bankgegevens zijn topprioriteit voor ons. We vermeldden al eerder in dit topic dat we door middel van de combinatie van de 5 controlevelden en de gekoppelde rekening de veiligheid van onze klanten en hun geld verzekeren. Om keylogging te bemoeilijken moet de PIN-code bovendien ingevoerd worden zonder toetsenbord. Daarnaast voorkomen we ook brute-force hacking door middel van een 'lock-out' systeem. Wanneer een PIN, wachtwoord of veiligheidsvraag meerdere keren na elkaar foutief werden ingevoerd, wordt uw toegang tot uw rekening geblokkeerd. U kan deze enkel opnieuw activeren door contact op te nemen met onze klantendienst.

Tot slot willen we graag nog even vermelden dat we continu werken aan onze website om deze nog beter te maken, rekening houdend met veiligheid op de eerste plaats, zonder de gebruiksvriendelijkheid te vergeten. Daarbij kijken we uiteraard ook naar de commentaren die we op dit forum ontvangen.

Ik twijfel zeker niet aan jullie goed intenties, maar wil wel verduidelijken dat naast het keyloggen, hackers uiteraard ook in staat zijn van te zien op je scherm wat jij ziet, dus dat van die pincode op het scherm kan ook gelogd worden. En dit gebeurt niet alleen via malware. Ik verwijs bvb naar die Flash Player bug die kort geleden in het nieuws kwam waarbij sommigen al jarenlang wisten dat je daarmee de volledige controle over kunt nemen op een pc en wat alleen door stom toeval (een politie inval ofzoiets) boven water gekomen is. Besef dus dat er wel nog meer van die bugs op je computer kunnen zitten.

Dat is de reden waarom 2-step verificatie zoveel veiliger is gezien je hiervoor een externe hardware component nodig hebt (digipass, GSM, etc..) zodat dit buiten de computer gebeurd. Vandaar mijn vraag of MeDirect dit eindelijk ook zou willen invoeren, gezien dit bij de meeste andere banken ondertussen al is.

Mark01 : wat jij als "2-step verificatie" omschrijft is evenmin waterdicht. Je geeft nog altijd je numerieke code in via je keyboard, en je token blijft vaak langer dan een minuut geldig. Je token gaat over SSL (SSL-vulnerabilities, iemand ?). Of je kan users via spoofing naar een "officieel lijkende" website te sturen.
Deze oplossingen van Vasco & co voegen een hoge graad van beveiliging toe, maar zijn nooit 100% failsafe.
De implementatie van MeDirect is i.m.o. niet beter of niet slechter : wie je wil pakken, zal je sowieso te pakken krijgen. De bank kan wél veel kosten besparen - ik weet niet of je een idee hebt van de prijzen voor deze Vasco-pasjes en backends.

Wat je met deze vendetta wil bewijzen, ontgaat me. Het staat je vrij al dan niet klant te zijn bij een bank - niemand verplicht je.
Maar op basis van halve argumenten én als niet-klant een bank publiekelijk aan de schandpaal stellen, vind ik nogal crû. Wie niet kritisch omgaat met wat hij op fora leest, kan zo een verkeerd oordeel vellen.

Carl

Boompie : Wat essentieel is bij 2-step verificatie is dat je een random code krijgt die maar 1 sessie geldig is, dus steeds een andere code. Dat is uiteraard een belangrijk deel van die veiligheid.

Ik begrijp echt niet waarom mensen hier protesteren tegen suggesties naar een bank toe om haar inlog zo veilig mogelijk te maken.

Zoals gezegd kan men de inlog via digipass (of sms) altijd optioneel maken voor diegene die er willen voor betalen, maar zoveel kost dit dus ook weer niet. Men probeert hier echt de indruk te wekken dat MeDirect een marginale bank is die zoiets niet zou kunnen implementeren als ze willen, al dan niet met een kleine kostprijs voor de klanten die ervoor kiezen.

Aan MeDirect kan ik alleen maar zeggen dat heel veel mensen die een bank als hen overwegen van grootbanken als KBC of Fortis komen waar digipass/lezer zowiezo standaard is. Maar ook Binck, etc.. hebben al sms login toegevoegd. En he zal je als bank maar overkomen dat je toch gehackt wordt.

Mark01 schreef:Boompie : Wat essentieel is bij 2-step verificatie is dat je een random code krijgt die maar 1 sessie geldig is, dus steeds een andere code.

Ik ken het principe zeer goed, hoor.
Het gaat me over het dupliceren van een geautenticeerde sessie, binnen de geldigheidstermijn van die token. Of via spoofing de sessie initiëren vanaf een niet-geauthenticeerde URL, om dan op een officiële URL en binnen het tijdwindow de sessie te dupliceren.

Carl