Goedemiddag HeStevenPrima en welkom bij onze Community.

Deze wens hoor ik vaker, en om eerlijk te zijn ben ik het ook wel met je eens. Ik zet je suggestie door naar de juiste afdeling.

Is dit inmiddels al mogelijk en zo ja, hoe stel ik het in?

Nee natuurlijk niet. ICT van NS stamt uit het jaar "kruik”. Zie ook de talloze topics hier over allerlei langdurige ICT-problemen.

Goedemiddag RVJvGeenen, vooralsnog is er geen 2 factor authenticatie mogelijk. 

Heeft @Tomas NS dat destijds ook gedaan? 

Zeker, de suggestie is doorgezet maar het is aan de achterliggende afdeling om te bepalen of het gaat gebeuren en met welke prioriteit het op de lijst komt.

Eigenlijk maakt een 2 factor login je account helemaal niet veiliger, het is puur schijn... Elke account op elke platform heeft een token, en daar gaan hackers tegenwoordig achter aan want met een token login heb je helemaal geen wachtwoord, email of 2FA nodig om binnen te komen...

Laten we de discussie nu niet maken over welke techniek de beste is. Het gaat er om dat de NS zijn beveiliging op orde moet brengen. Dat er na een jaar nog niets gedaan is geeft wel aan dat beveiliging van persoonsgegevens niet hoog op de agenda staat bij de NS. Blijkbaar moet er eerst een incident zijn en een boete volgen voordat ze wakker worden. Jammer dat je geen keuze hebt bij het openbaar vervoer in Nederland. 

Persoonsgegevens moeten adequaat beveiligd zijn. Wat adequaat is, hangt vooral af van de inhoud. Wat me in dat licht verbaast, is dat het TS om zijn rekeningnummer gaat. Daar kan niemand iets anders mee dan geld naar je overmaken, dus dat is m.i. helemaal niet gevoelig. MijnNS geeft echter ook toegang tot je reishistorie en of een simpele combinatie van gebruikersnaam en wachtwoord daarvoor adequaat is, vind ook ik twijfelachtig.

@Sascha NS, Ik stel voor dat je mijn melding doorzet naar de Functionaris Gegevensbescherming binnen de organisatie en niet een afdeling. Als je een email adres hebt, kunnen we ons ook direct aan de functionaris wenden. In mijn ervaring gaat er dan vaak wel iets gebeuren. 

Rekening nummers zijn nog steeds gewild (geld waard). Ze worden gebruikt in social engineering en identiteitsfraude. Ik ben al eens slachtoffer geweest van identiteitsfraude, en hoewel het uiteindelijk geen geld gekost heeft, was het wel veel stress. 

Ik schat zo in dat NS geen interne mailadressen van medewerkers openbaar gaat maken, dat doet geen enkel bedrijf, en dat is maar goed ook uit oogpunt van privacy en gegevensbescherming. Voor contacten is de klantenservice.

Lijkt mij ook geen idee. Wie weet wat ze daarmee doen.

Ja hoor, dat doen ze wel. Tenminste, het is natuurlijk niet het persoonlijke mailaccount, maar wel een algemeen adres van de FG.

Wij hebben een Functionaris voor Gegevensbescherming die goede naleving van de privacy spelregels bewaakt. Hieronder vindt u de contactgegevens van de Functionaris voor Gegevensbescherming:

NS Groep N.V.
mr. A. Nijhoff
Postbus 2812
3500 GV Utrecht
Of stuur een e-mail naar fg@ns.nl

Zie de reactie hierboven: fg@ns.nl

Social engineering kan ik me nog wel wat bij voorstellen, maar hoe gebruik je een rekeningnummer voor identiteitsfraude? Je kunt je nergens identificeren met je rekeningnummer, toch?

Het blijft een moeilijke. Tweestaps beveiliging zo leert de ervaring doet veel gebruikers afhaken omdat ze het te veel gedoe en bureaucratie vinden. Wat mij betreft kan het beter zo blijven als het nu is, lijkt me veilig genoeg.

Als ik op mijn bankapp inlog hoef ik.ook alleen een pincode in te geven en daar gaat het nog direct om geld.

Je kan gebruikers natuurlijk gewoon de keuze bieden.

Dat is misschien een goed idee. Het gros van de reizigers zal er geen behoefte aan hebben en die val je er dan ook niet mee lastig. En wie het wel belangrijk vindt kan er dan zelf voor kiezen.

Activatie van de app is echter veel moeilijker hier waardoor er wel degelijk een tweede authenticatiefactor is: je gebruikt je pincode op JOUW telefoon.

Heb je nooit meegemaakt dat ter controle gevraagd wordt wat de laatste 3 of 4 cijfers van je bankrekening nummer zijn? 

Ik had het recent nog toen ik contact had met mijn energie leverancier. 

Het verschil is dat het bij de bank gaat om een app die door de bank wordt geleverd. Als de NS een app levert die gebruik maakt van een locale beveiliging op je telefoon ben ik het helemaal met je eens. En zie ik geen bezwaar. Maar als het een website is, dan niet. Ze kunnen ook een eigen app op je telefoon gebruiken waarbij je moet bevestigen dat je op een website aan het inloggen bent. 

Tja, het verschilt per instelling. De app van ASN Bank vereist een pincode (5 cijfers) óf je vingerafdruk. De website van ASN toont een qr-code die je kunt scannen vanuit de app, maar inloggen met een wachtwoord, digipas/authenticator of (lokale) browsercode van 5 cijfers kan ook.

De Revolut app is alleen te gebruiken met een vingerafdruk. Bij gebruik van de website kan dat ook met een qr-code (die opent de Revolut app), maar bij een online betaling moet je je toegangscode (6 cijfers of meer) intoetsen en krijg je een sms-verificatieode zoals 123-456.

De NS is al jaren geleden gestopt met sms-berichten (die overigens niet waren voor 2FA), maar zelfs DigID had tot voor kort de mogelijkheid om in te loggen met een gebruikersnaam/wachtwoord. Tegenwoordig is dat met de app (koppelcode), sms-controle of rijbewijs/identiteitskaart (NFC).

Bij OV-chipkaart is 2FA via een (e-mail) code optioneel. Zoiets is voor de NS natuurlijk vrij simpel te implementeren en dan heb je de app niet nodig. Wel graag optioneel, zoals @mrfreeze al zei.

Gelukkig niet voor zo ver ik me kan herinneren, of in elk geval niet zonder dat dat in combinatie met andere persoonsgegevens was. Als bedrijven me willen authentiseren als de eigenaar van mijnrekening vragen ze meestal om een cent over te maken.

Ja daar heb ik toevallig in mijn werk mee te maken en dat we geen jaren eerder zijn begonnen met het uitgeven van legitimatiebewijzen die kunnen dienen voor behoorlijk betrouwbare authenticatie hebben we helaas ook nog jaren last van.