Bij de support vragen over login staat op Medirect volgende:

Wat doe ik als ik geen SMS code ontvangen heb bij het inloggen op de nieuwe website?
Op het login scherm klikt u op ‘’Ik heb geen SMS code ontvangen”.Dan ziet u de laatste vier cijfers van uw GSM nummer waarnaar de SMS code reeds is verstuurd. Mocht dit niet het juiste GSM nummer zijn, klik dan op “Wijzig GSM-nummer”. Hier kan u uw GSM nummer opnieuw in te stellen."

bron bovenstaande zie hier: https://www.medirect.be/nl-be/support/v ... we-website

Het feit dat je tijdens de login procedure blijkbaar doodleuk de beveiligings SMS naar een ander GSM nummer kan laten sturen, maakt dat de hele login procedure bij Medirect niet zeer onveilig? Dat je eenmaal ingelogd dit in de settings kunt wijzigen ok, maar dat je tijdens de login procedure zelf blijkbaar de sms code naar een ander gsm nummer kan sturen is toch extreem onveilig? Die sms code naar jouw gsm en geen andere is juist de beveiliging of wat begrijp ik hier niet goed aan? Zoals ik het versta kan iedereen die je paswoord heeft dan je sms code naar zijn gsm laten sturen en inloggen. Dat is toch niet veilig?

Dat zou inderdaad onveilig zijn indien je je klantnr en paswoord (eerste stap van login) publiek bekend gemaakt hebt maar zo dom zul je wel niet zijn zeker. Trouwens die optie om het GSMnr te wijzigen staat er niet (meer?) enkel opnieuw een SMS ontvangen of opgebeld worden met een login code. Zou natuurlijk wel gek zijn om een twee stappen login te gebruiken waarbij de optie gegeven wordt om de tweede stap te omzeilen.

sortino schreef: ↑28 juni 2019, 22:55 Zoals ik het versta kan iedereen die je paswoord heeft dan je sms code naar zijn gsm laten sturen en inloggen. Dat is toch niet veilig?

ja zeker doen , je paswoord aan iedereen geven

Ik meende dat er nog een laag van veiligheid was door een vaste externe transactierekening. Maar dat is niet zo. Je kunt via het MeDirect platform overschrijven naar een rekening naar keuze.

De veiligheid van dat inlogsysteem lijkt mij voldoende maar toch maar nipt. Zou liever hebben dat ipv sms het via een nummergenerator ging (Google Authenticator) of Itsme.

SMS one time password is eigenlijk zo lek als een zeef. Deze methode van twee staps authenticatie is geen theoretische manier meer om te hacken, maar werd al in praktijk geraakt.
https://www.telegraph.co.uk/technology/ ... -accounts/

SMS is nu eenmaal een onveilig iets. Je kan het onderscheppen (heeft geen enkele vorm van encryptie) en spoofen (je kan je voordoen als iemand anders op het netwerk).
Het wordt in diverse veiligheidsadviezen geadviseerd om gewoon niet meer te gebruiken en als je het nog gebruikt om over te stappen naar een veiligere methode.

Er is eigenlijk ook zeer veel discussie over of SMS OTP eigenlijk wel mag onder de noemer PSD2.
Nu moet er iets mislopen ben je als consument bescherm. De bank zal moeten opdraaien voor jou verlies.