Spaargids.be forum

Statische wachtwoorden en PIN-codes zijn anno 2013 alles behalve veilig.
Zijn er plannen om two-step authentication te gaan invoeren (voor het inloggen, het plaatsen van orders, het wijzigen van intellingen,...)?

One Time Passwords kan via SMS maar ook veel makkelijker, via de Google Authenticator bijvoorbeeld.

Dag Andrew,

Op dit moment zien we hier geen noodzaak voor. Naast het gebruik van het (zelfgekozen) wachtwoord wordt er extra beveiliging ingebouwd door gebruik te maken van een vaste tegenrekening. Zo kan er enkel geld worden weggeschreven naar deze specifieke (vooraf doorgegeven) rekening om misbruik tegen te gaan.
Veiligheid is echter iets waar we als bank zeer intens mee bezig zijn. Onze veiligheidsmechanismen worden continu geëvalueerd en zonodig aangepast, zowel wat het zichtbare gedeelte betreft als het achterliggende gedeelte dat onzichtbaar is voor de klant.

Mvg,

Het wordt zelfs nog erger. Vanaf 16 december komt Binck met een vernieuwde versie van de website. Er zal daarbij geen pincode meer gevraagd worden om orders door te geven... Dit rechtvaardigen ze door te zeggen dat "aan de structuur van uw gebruikersnaam en uw wachtwoord nu hogere eisen worden gesteld". Ben er zelf niet bepaald blij mee.

https://www.binck.be/nieuwe_klantensite ... s_plaatsen" onclick="window.open(this.href);return false;

Ik denk dat het een economische afweging is. Het enige dat een hacker kan doen, is verkopen of kopen in jouw plaats. Storten op je eigen tegenrekening is de beveiliging tegen inbraak. Dus diefstal is het niet echt, enkel ongewenste aankoop/verkooporders. Het valt dus te bediscussiëren of dat schade is of niet. Praktisch moet je ook al wat moeite doen, vb via bankkaarten. Nu is het simpel.
Maar of het ene opweegt tegen het andere is maar de vraag. Als het ééns de media haalt dat paswoorden gestolen zijn en mensen hun portefeuille leeg is mogen ze bij Binck de boeken toe doen. De imagoschade zal enorm zijn, zeker omdat het duidelijk is dat de login/pw manier van doen eigenlijk 20ste eeuws is.

Waarom kan je niet gewoon de optie geven om een pincode te blijven gebruiken? Op IT-vlak kost dat geen moeite. Het bestaat nu al. Voortaan moet je ook zelf je beurstaks en transactiekosten gaan uitrekenen. Bij het doorgeven van transacties krijgt je enkel de bruto bedragen, dus excl. deze kosten, te zien. Weinig moeite akkoord, maar het wordt niet gebruiksvriendelijker op deze manier.

@BinckBank: Zoals @mjinde zegt is er de vrees dat een hacker gewoon het e-mailadres kan aanpassen en dan voor de lol of uit wraak (of ...?) alles meerdere keren zou kunnen kopen en weer verkopen om zo het kapitaal op te doen aan kosten... zonder dat ik er meldingen van krijg. De "voor de lol" heb ik al eens meegemaakt: toen mn Gmail account 5 jaar geleden werd gehacked waren de e-mails ook weg... (Google gebruikte toen nog geen TOTP).

@jens_dev: volgens mij kan je eens je het wachtwoord hebt het e-mailadres aanpassen om jezelf dan een nieuwe PIN-code op te sturen zonder dat je de oude kent.

Er zal inderdaad geen gebruik meer gemaakt worden van een pincode, maar beleggers krijgen nog steeds een controlescherm die hen vraagt of ze zeker zijn van het order. Klanten moeten dus tweemaal de beslissing nemen om een order in te leggen, waardoor het risico op onbedoelde orders gering blijft.

Wat inloggegevens betreft zijn er voldoende controlemechanismen ingebouwd: het rekeningnummer van een klant wordt nooit per email doorgestuurd, enkel per post. Wanneer u dan voor de eerste keer zal inloggen op de nieuwe website (vanaf 16 december) zal gevraagd worden om het wachtwoord dat u van Binck krijgt, onmiddelijk aan te passen aan een zelfgekozen wachtwoord (min 10 tekens). Hierbij dient u als gebruiksnaam het rekeningnummer in te voeren, maar vanaf dat u bent ingelogd kunt u deze gebruiksnaam ook wijzigen naar een zelfgekozen gebruiksnaam. U kunt vervolgens een sms bevestiging activeren die u waarschuwt wanneer een order werd uitgevoerd of geannuleerd. Zo bent u zeker dat er geen onbedoelde orders worden ingevoerd. Wil er verder iemand via telefoon het emailadres van een rekening wijzigen, dan wordt er steeds een controle gedaan op de identiteit van deze persoon.

Indien er iemand deze inloggegevens te weten komt en slechte bedoelingen heeft kan hij/zij daarbij enkel naar de tegenrekening van de klant wegschrijven.

ondertussen heeft Binck bank tweestapsauthentificatie toegevoegd!
Het staat niet standaard aan, je moet een mailtje sturen naar binckbank en dan wordt dit geactiveerd.