SNS

Mobiele pincode van SNS voortaan nog veiliger

  • 3 april 2019
  • 29 Reacties
  • 13360 Keer bekeken

Badge
Ik kreeg gisteren bericht dat ik mijn pincode in de mobiele app kon herregistreren en dat het gebruik(?) dan veiliger zou zijn. Aangezien het nog altijd een pincode van 5 cijfers is en geen extra veiligheidsfactor (vingerafdruk, gezichtsherkenning, NFC tag) toegevoegd is, snap ik niet hoe het veiliger kan zijn.

Kan er iemand uitleggen waarom en hoe het nu veiliger is? Ga gerust in op eventuele technische aspecten.

29 reacties

Reputatie 3
Badge +3
Beste allemaal,

Begin april schreef ik over de nieuwe Login en Sessie Manager (LSM). Een nieuwe centrale applicatie voor inloggen en het bevestigen van opdrachten. Om met de nieuwe versie aan de slag te gaan is het wél nodig om eenmalig je mobiele pincode opnieuw te registreren met je digipas of digicode. Zo kan de nieuwe techniek in de app geactiveerd worden. Heb jij de mobiele app geüpdatet en je mobiele pincode opnieuw geregistreerd? Zo kun je na 1 september gewoon inloggen. Hier lees je hoe en waarom.


Gelijk regelen?
  • Ga naar ‘Instellingen’ en ‘Inloggen en limieten’.
  • Kies daar ‘Mobiele pincode opnieuw registreren’.
  • Je bevestigt je nieuwe code met je digipas of digicode.
Goed om te weten: je kunt de nieuwe code alleen registreren in de nieuwste versie van de app.
Reputatie 3
Badge +3
Beste SNS, waarom zou de gebruiker (klant) dit niet zelf mogen bepalen?

Beste @AppieR,

In je vraag stel je dat je het weghalen van de mogelijkheid om onbedoelde betalingen naar een onbekende rekening te blokkeren niet veilig vindt. We begrijpen je punt. De achterliggende reden is dat we deze instelling ook niet kennen op de digipas. Met het oog op de toekomst hebben we deze gelijkgetrokken voor de nieuwe Login en Sessie Manager (LSM). Inloggen en opdrachten bevestigen in mobiel bankieren en Mijn SNS loopt nu via twee verschillende systemen. Daarom kun je vanuit de mobiel bankieren app bijvoorbeeld niet automatisch inloggen in Mijn SNS. Met LSM is er één centrale applicatie voor inloggen en bevestigen van opdrachten.

In mijn vorige antwoord liet ik weten dat we de IBAN-Naam Check toepassen als je geld (euro's) overmaakt, hiermee worden verkeerde overboekingen voorkomen. Daarnaast monitoren we verdacht gedrag en schatten we het risico van het geschetste scenario laag in. Ondanks dat je van mening bent dat je zélf de keuze had willen maken, zijn we ervan overtuigd dat we een goede en veilige manier van digitaal bankieren aanbieden. Om eventuele bezorgdheid te voorkomen: alle controles die we uitvoeren gelden óók voor Instant Payments overboekingen.
...
Belangrijker echter is dat een flinke stap uit de beveiliging wordt gehaald als het aankomt op bescherming van ouderen en minder technische gebruikers.
Hopelijk hoef ik niet in detail uit te leggen, op het publieke forum, hoe dit misbruik van ouderen aanzienlijk gemakkelijker maakt. De banken, inclusief SNS, zijn niet al te lang geleden juist opgeroepen om ook hun verantwoordelijkheid hierin te nemen.
Door nu zelfs de optie niet meer bij de klant te laten wordt het risico en verantwoordelijkheid verschoven richting de klant - het tegenovergestelde van wat beoogd was.
...

@AppieR, vooral in combinatie met de invoering van 'instant payment'. Dan is het geld direct weg te sluizen via een paar katvangersrekeningen.
Ik zie al zo het verhaal in een uitzending van 'Opsporing Verzocht' voor me...
Beste Evelyn,

Dank voor de toelichting.
Dat de optie is komen te vervallen is precies het probleem.
Dit wordt inderdaad voor een aanzienlijk deel van de overboekingen opgelost door de naam-nummer controle maar zeker niet voor alle overboekingen - juist diegene waar de check nu handig voor is.

Belangrijker echter is dat een flinke stap uit de beveiliging wordt gehaald als het aankomt op bescherming van ouderen en minder technische gebruikers.
Hopelijk hoef ik niet in detail uit te leggen, op het publieke forum, hoe dit misbruik van ouderen aanzienlijk gemakkelijker maakt. De banken, inclusief SNS, zijn niet al te lang geleden juist opgeroepen om ook hun verantwoordelijkheid hierin te nemen.
Door nu zelfs de optie niet meer bij de klant te laten wordt het risico en verantwoordelijkheid verschoven richting de klant - het tegenovergestelde van wat beoogd was.

Het zal helaas niemand verbazen als de SNS in zulke gevallen straks ook de aansprakelijkheid en schade simpelweg bij de klant legt.

En dan was en is nog steeds onbeantwoord mijn echte vraag: waarom maakt de SNS de keuze voor minder beveiliging vóór mij in plaats van die aan mij te laten?
@winb De spelregels van de nieuwe pincode zijn hetzelfde als voor de code die je nu gebruikt. Als deze je bevalt, gebruik je 'm opnieuw. Voor ons is het van belang dat je de nieuwe app gaat gebruiken, omdat deze veiliger is dan degene die je nu gebruikt. Na de registratie kies je zelf de 5-cijferige toegangscode. Als je hulp nodig hebt met de registratie, dan ben je van harte welkom in een SNS Winkel. Mijn collega neemt dan de stappen met je door.
Je gaat niet in op mijn probleem, maar ik neem contact op om met te laten helpen, maar mijn vrees blijft dat ik niet meer mobiel kan bankieren.
Reputatie 3
Badge +3
Ik heb geprobeerd om te registreren krijg de melding dat mijn gebruikte pincode niet veilig genoeg is en ik een nieuwe moet kiezen. Ik heb er geen zin in ben 70 jaar en blij dat ik deze onthou.

Hallo beste @wimb,

Je vroeg je af hoe het komt dat een of jouw pincode niet veilig genoeg is. Eenvoudige pincodes zoals 11111 en 12345 sluiten we uit. Dit is puur uit bescherming voor jou en alle andere klanten. Wanneer een toestel onverhoopt in handen van een kwaadwillende valt, dan zijn dát de codes die als eerste geprobeerd worden (als we ze zouden toestaan). Juist door dit soort maatregelen kunnen we Mobiel Bankieren veilig houden.

Maak je overigens geen zorgen over de toegang tot de mobiele app, we helpen je graag als het nodig is. Inmiddels zijn er al honderdduizenden klanten over gegaan. Mensen die nog niét (opnieuw) hebben geregistreerd worden door bijvoorbeeld berichten in de app op de hoogte gebracht. We adviseren je om te updaten en daarmee toegang te houden tot de Mobiel Bankieren app. Er zal een moment komen waarop we afscheid nemen van de oude administratie, nu kun je in ieder geval nog zelf kiezen op welk moment je dat wilt doen.
Reputatie 3
Badge +3
Een aspect blijft niet helemaal duidelijk: "En maken we geen verschil meer tussen bekende én onbekende rekeningen."Beste SNS, waarom zou de gebruiker (klant) dit niet zelf mogen bepalen?

Hoi @AppieR,

Het heeft heel eventjes geduurd, maar ik heb antwoord op je vraag gekregen over onbekende derden. In het nieuwe veiligheidsmodel wat we gebruiken is deze optie komen te vervallen. Daarom is het voor onze klanten niet meer mogelijk om deze keuze te maken. Begrijpelijk dat je hier aan moet wennen als dit je werkwijze is en het als controle ziet, maar ook door de invoering van de IBAN Naam Check informeren we klanten al een stap eerder.
Reputatie 3
Badge +3
Kan je het concreter maken door de volgende Ja/Nee-vragen te beantwoorden:
  • Is de beveiliging van de systemen van SNS verbeterd?
  • Is de communicatie tussen de app en de systemen van SNS beter beveiligd?
  • Is de werking van de app beter beveiligd tegen hacking van het apparaat waar het op draait?
  • Ben ik nu beter beveiligd tegen iemand die over mijn schouder meekijkt en mijn pincode ziet en daarna mijn apparaat steelt? (Ga ervan uit dat het apparaat unlocked is, want de vraag gaat niet over de toegangsbeveiliging van het apparaat, wel van de app.)
Bijkomende uitleg naast het Ja/Nee-antwoord mag gerust.


Hallo @E.Q.

Een tijdje geleden heb je mooie mobiele vragen bij me uitgezet en vandaag kom ik er graag op terug. Alle vragen worden met ja beantwoord, behalve de laatste. Los van de extra beveiliging in de app monitoren wij op verdachte zaken. Dus in de beschreven situatie zijn er nog steeds beveiligingsmaatregelen actief ook al is de eerste en tweede lijn van beveiliging (pincode en bezit van het toestel) al gecompromitteerd.
Reputatie 3
Badge +3
Beste @wimb en @AppieR,

Uit jullie reacties maak ik op dat jullie vragen hebben over de veiligheid en de toegankelijkheid van de nieuwe mobiele pin. Om op een later moment zo goed mogelijk antwoord te geven, heb jullie reacties doorgegegeven aan het team die werkt aan deze ontwikkeling. Graag nog even geduld, ik kom erop terug.
Ik heb geprobeerd om te registreren krijg de melding dat mijn gebruikte pincode niet veilig genoeg is en ik een nieuwe moet kiezen. Ik heb er geen zin in ben 70 jaar en blij dat ik deze onthou. Maar nu wordt ik in juni geblokkeerd lees ik en vrees ik.

Gr Wim
Een aspect blijft niet helemaal duidelijk:
"En maken we geen verschil meer tussen bekende én onbekende rekeningen."
Het is vanuit technisch- dan wel veiligheidsoogpunt aan de kant van de SNS misschien niet meer nodig om de digipas te gebruiken. Voor mij is dit echter een menselijke beveiliging; eentje met aanzienlijke toegevoegde waarde: verwacht ik de extra stap; zo niet dan heb ik waarschijnlijk een fout gemaakt! En dus de kans mezelf te corrigeren.

Bij het instellen van de nieuwe app blijkt deze optie nu zelfs niet meer geactiveerd te kunnen worden (behalve dus o.b.v bedrag).
Beste SNS, waarom zou de gebruiker (klant) dit niet zelf mogen bepalen?
Ach Koos, het is net als met fietsen; je verleert het nooit, het gaat vanzelf en het voelt vertrouwd ;)
Zelfs de helm (waar de meesten hier mee fietsen) komt van pas! :D
Groet,
Ben 🆒
Reputatie 2
Badge +1
Ach Koos, het is net als met fietsen; je verleert het nooit, het gaat vanzelf en het voelt vertrouwd 😉
NB: kon het niet nalaten om weer eens op de community te kijken... ;)
en... hoe beviel het?
Reputatie 2
Badge +1

Komt er nog meer?

• Later dit jaar heb je geen digipas meer nodig om in te loggen in Mijn SNS. Scan eenvoudig een QR-code met je app en log in met je mobiele pincode.


Dit vind ik persoonlijk een mooie ontwikkeling. Ik snap dat je daarvoor een LSM (nieuw) nodig hebt en dat je daardoor ook de interne beveiliging in de SNS app moet opschroeven. Dat je hierdoor de PIN opnieuw moet registreren vind ik vanuit technisch veiligheidsperspectief zeer goed. Het bewijst voor mij dat jullie geen achterdeurtje hebben naar mijn PIN (en eventuele hackers die daar weer misbruik van kunnen maken dus ook niet).

NB: kon het niet nalaten om weer eens op de community te kijken... 😉
Goedemorgen @Fluwijn,

Het klopt inderdaad dat je de limiet zelf even moet aanpassen. Bij de registratie wordt dit meteen aangegeven, het scheelt in ieder geval wat werk op een later moment.
De oude app versie verloopt en valt uiteindelijk niet meer te gebruiken. Qua datum heb ik hierover een extra navraag voor je gedaan. Je suggestie over een linkje in de app heb ik meteen meegenomen. Zodra ik meer weet, hoor je het hier van me.
Bedankt voor de reacties, en eRik19 het testen!
Begrijp ik het goed dat de app vanaf 1 juni niet meer werkt, tenzij ik m'n code vernieuw?
En met 'kunnen aanpassen' bedoel je dus eigenlijk 'moeten aanpassen' ... 😉
Evt een linkje in de app naar een pagina met meer info plaatsen?
Hoi @Fluwijn,

Dank voor je inhoudelijke vragen. Veiligheid is voor ons inderdaad erg belangrijk. Door het toepassen van de laatste technieken in encryptie biedt de nieuwe app dan ook extra veiligheid voor het overboeken van grote bedragen. Zoals @MarcelR aangeeft is herregistratie te verklaren door de versleuteling. Goed nieuws wat betreft je pincode: je kunt gewoon weer dezelfde mobiele pincode kiezen. De update is echter wel noodzakelijk, je zult de app dus moeten updaten. De oude app versie verloopt dan en valt dan niet meer te gebruiken.

Ik kan begrijpen dat je € 25.000 wellicht teveel vindt. Er zijn klanten die het fijn vinden, en andere klanten die het misschien minder vaak zullen gebruiken. De mogelijkheid om meer over te boeken dan voorheen (€1.000) wordt nu echter wel geboden. Maar wees gerust: je kunt de limiet zelf aanpassen in de app. Tijdens de registratie kun je dit dan ook meteen doen.

Mocht je nog vragen hebben of tegen zaken aanlopen tijdens de registratie, hoor ik het graag.
@Fluwijn,
Ik ben je voorgegaan en heb zelfde pin weer kunnen instellen en de limiet omlaag gebracht van €25,000 naar €10 euro. Voor elke hoger bedrag moet ik mijn digipas bij de hand hebben. En dat moet ook als ik die limiet van 10,- zou willen verhogen (dacht ik).
Dus al met al even wat werk, maar verder kun je op de oude voet verder.
Waarom MOET ik mijn pincode opnieuw registreren? Ik heb geen interesse in de wijzigingen zoals die in de app worden omschreven.
De huidige code bevalt me, kan ik die dan opnieuw instellen, of is dat risicovol? Of krijg ik dan zo'n melding als 'U hebt dit wachtwoord al eens gebruikt...'
En wat gebeurt er op 1 juni, dat er een harde deadline aan zit?
Ik wil helemaal niet €25.000,00 over kunnen boeken met mijn mobiel (vrij belachelijk bedrag voor de gemiddelde Nederlander) maar nu wordt ik wel gedwongen om daar actie op te ondernemen. Beetje irritant.

Erg vaag allemaal...communicatie hierover had absoluut beter gekund. Natuurlijk is extra veiligheid altijd goed, maar hoe het nu ingeschoten wordt, is dat ik er persoonlijk waanzinnig veel baat bij heb, terwijl de genoemde zaken mij echt geen fluit interesseren.
En, dat je jezelf via een app moet her-registreren is in deze tijd van de zotte.
De reden van een herregistratie is op zich niet zo gek, de bank kent jouw pincode niet; deze wordt versleuteld opgeslagen. Als die dus op een andere manier, al dan niet in combinatie met andere kenmerken, opnieuw versleuteld wilt opslaan, dan is een herregistratie wel te verklaren.
Reputatie 3
Badge +3
Ik begrijp niet dat de SNS zo'n wijziging via een forum toelicht.

Hallo @bertnogiets,

Welkom op de community. Zoals we je hebben laten weten als nieuw lid van de community, is dit het online platform van SNS Bank waar je direct meepraat over financiële zaken. We geven slimme financiële tips, je kunt zelf informatie delen en bijvoorbeeld deelnemen aan onderzoeken. Op die manier verbeteren we de financiële kennis van Nederland en krijg je meer inzicht in je geldzaken. Dit vinden we belangrijk. Vandaar ook dat we over de nieuwe LSM (Login en Sessie Manager) vertellen. Komt geen hacker aan te pas hoor, ik heb het bericht zelf geschreven.
Reputatie 3
Badge +3
Hoi E.Q.,

Voor de meeste mensen is de informatie in het artikel voldoende. Met LSM is er één centrale applicatie die de toegang regelt. LSM staat voor Login en Sessie Manager. Een nieuwe centrale applicatie voor inloggen en het bevestigen van opdrachten. De wijziging zit vooral aan de achterkant. In de app merk je er als gebruiker niet veel van. Je logt in, je registreert je of bevestigt een opdracht in de app. Je ziet nog steeds hetzelfde scherm als je een opdracht ondertekent. LSM geeft aan de app door welk token je mag gebruiken: je mobiele pincode, vingerafdruk, FaceID, je digipas of je digicode.

Je geeft aan dat je het vaag vindt en meer informatie wenst, ik heb je vragen uitgezet en hoop je gauw te informeren. Daarmee lossen we volgens mij ook gelijk de vragen van @bertnogiets op.
Ik begrijp niet dat de SNS zo'n wijziging via een forum toelicht. En, dat je jezelf via een app moet her-registreren is in deze tijd van de zotte. Hoe gemakkelijk had dit door een hacker gedaan kunnen worden??? Al je gegevens op straat en je rekening geplunderd. (Of is dit toch echt een hackpoging?)

Reageer