@New-Mustard-Guanaco-4202190647#276360 De app heeft al meerdere factoren. Naast een 6-cijferige code heb je ook een telefoon nodig die ontgrendeld is waar de bunq app op geïnstalleerd en geactiveerd is. Voor het koppelen van een nieuw device zijn verschillende vormen van validatie nodig.

Dag Peter B.
Sinds deze week ben ik nieuw bij Bunq. Ik loop tegen hetzelfde aan. Klopt het dat als iemand toegang heeft tot de iPhone degene direct geld kan overmaken zonder limiet? Het lijkt erop dat er geen tweede beveiligingslaag is voor een autorisatie zoals andere banken dat wel hebben. Zie ik iets over het hoofd?

@New-Navy-Panda-2602329540#276376 Je hebt in de bunq instellingen (Profiel > ⚙️ > Beveiliging) waarschijnlijk ingesteld dat je pas na een week wordt uitgelogd. Je kunt deze instelling aanpassen naar bijvoorbeeld een dag, een uur of nog korter.

Zorg dan wel dat je biometrische verificatie uit hebt staan (als iemand toegang heeft tot je telefoon via vingerscan of gezichtsherkenning, kan hij/zij via biometrische verificatie in de bunq app alsnog een betaling doen). Als je biometrische verificatie uitzet moet iemand je 6-cijferige pincode gebruiken om in te kunnen loggen in de bunq app.

Dank je Thijs voor je reactie en uitleg. Dat moet dan inderdaad de manier zijn. Het lijkt er dus op dat Bunq geen extra security laag heeft zoals andere banken die hebben (bv een e.dentifier en je pasje bij ABN AMRO).

Dag Thijs, als iemand toegang zou krijgen tot de telefoon en de app van Bunq kan deze persoon alles doen met het geld wat op de rekening staat. Deze persoon heeft die mogelijkheid niet met de app van bv ABN AMRO. Hier zit een limiet op en die kun je alleen aanpassen met de e.dentifier, bankpas en pincode.

@New-Navy-Panda-2602329540#276398 Maar wanneer kom je in de situatie dat iemand toegang heeft tot zowel je telefoon (vingerscan/gezichtsherkenning) als je bunq beveiligingscode?

Hi Thijs, dat is een risico analyse die ieder voor zichzelf moet maken. Het ging er mij om te begrijpen hoe dit bij Bunq is ingericht. Ik voel mij daar niet heel comfortabel bij. In ieder geval super bedankt voor je uitleg en reacties!

@New-Navy-Panda-2602329540#276406 Dat is waar, iedereen heeft natuurlijk zo zijn/haar eigen voorkeuren. Zelf zou ik het verschrikkelijk vinden als ik bij aanpassingen m'n fysieke pas en een scanner/identifier/etc. nodig zou hebben, en accepteer een klein stukje 'risico'. Zelf ben ik bunq klant sinds 2018 en ik heb me nooit onveilig gevoeld over m'n geld.

@New-Navy-Panda-2602329540#276398 ABN AMRO is op dit moment druk bezig met het uitfaseren van de e.dentifier. Bij ING zijn de tan-codes vervangen door de mobiele app, en Rabobank is ook gestopt met de Rabo Scanner. Alle grote banken in Nederland werken binnenkort vergelijkbaar met bunq.

@New-Navy-Panda-2602329540#276406 Hi Thijs, dat is een risico analyse die ieder voor zichzelf moet maken.

That's one way to dismiss the argument. Of course it's true and it's also completely fine if you personally decide that you need or want something else. But let's try to quantify the issue a bit then by assuming:

• The device is secured with a 6-digit passcode (which is kind of worst case, as every security-sensitive user is easily able to set a much stronger alphanumerical code)
• bunq App is set to automatically log you out after closing

Now let's consider two scenarios:

1. Someone uses phishing and you give them your bunq security code by accident, however they do not have stolen your device
2. Someone steals your mobile phone indiscriminately

In the first scenario, the attacker can log into your bunq account, but only to be greeted by an identity verification process. You also get notified by bunq immediately and are able to take measures to kick them out again like changing your security code or contacting support about it. But even if you are not able to do so, the attacker won't get through the verification process anyway.

In the second scenario, the attacker now has a piece of plastic, metal and glass in their hands that they are highly unlikely to make any use of. A modern phone operating system makes it nearly impossible to even get through to the home screen. If the attacker is particularly sophisticated and somehow is able to get into the phone (maybe they watched you type in your 6-digit passcode even though in public it's better to only use biometric authentication), then they still aren't able to open your bunq app because they have only a few guesses at a single code out of a million before the account gets locked.

Now, admittedly you can construct scenarios where the security eventually fails. What all of them have in common is that they're highly unlikely. There is some point on the scale where a bank needs to make a compromise between security and usability. I actually own many several bank accounts because banking is a very interesting topic to me (granted, most of them are from German banks) and I don't see bunq being particularly "daring" when it comes to picking a point on the scale. Some banks indeed have more lengthy processes, but when boiled down to what ultimately provides security to the user then it's often just something like a text message, which even a slightly sophisticated attacker can get access to through various means.

Hi all, thanks for your constructive reactions. It is by the way funny to see that I did not receive those reactions and explanations from Bunq itself. The community is providing the answers for Bunq. Interesting concept.
Also the fact that you only have a few guesses before the account gets locked is an important to know.
I also see that banks are facing out the e.dentifier and similar tools. However e.g. at ING: when you change the maximum daily amount you need to wait (I believe 4 hours) before this is active. All those extra layers can be annoying for the user however are also making the process secure. As long as everything is happening only on the iPhone I still remain reserved. Maybe I am old-fashioned, unknowing or just too careful.
Again thanks for all the input and explanations. I will make up my mind if I will really start using Bunq.

Ja op zich niet slecht om een 2FA met telefoon nummer te hebben, zeker in het begin, maar ook dat is inmiddels ouderwets.

Het is beter om 2FA via een Authenticator app zoals die van Google of via een Password manager zoals 1Password als extra optie te bieden.
Via een password manager maakt het voor de gebruiker nog eenvoudiger waar je zowel de 1e wachtwoord als de 2FA wachtwoord niet zelf hoeft in te vullen.

Ik krijg een mail dat ik 2FA moet installeren anders wordt mijn rekening opgeschort. Niets mee doen dus?
Gr Maarten

@New-Strawberry-Pronghorn-221829793#293469

nee!!! vooral niet op links in de mail of sms drukken, ze proberen alles om jou dit te laten doen
en dan ben jij de sjaak