Tagarchief: internetbankieren

Veilig inloggen.

Inlog De Tweede Kamer is het beu nog langer te wachten tot alle bankiers de codes voor goed gedrag naleven. Ter discussie staan nog steeds de bonussen en klantonvriendelijkheid. Bijvoorbeeld de ongemakken die een klant moet overwinnen om van de ene naar de andere bank over te stappen. De parlementariërs onderwierpen bankiers aan een waar kruisverhoor.

Waarom merken klanten nog zo weinig van eventuele veranderingen en waarom beoordelen de banken hun eigen naleving van de gedragscode met een mager zesje?, was een van de vragen die volgens
De Volkskrant de bitse toon van het verhoor zette. Dat bonussen nog niet tot geschiedenis worden verklaard en klanten alleen zeer problematisch van bank kunnen wisselen, zijn zaken waar je inderdaad kan ongeduldig van kan worden. Een even storend detail heb ik niet voorbij zien komen: veilig internetbankieren.

In oktober beschreef ik de merkwaardige
opvatting van de banken, dat de klant zelf verantwoordelijk is voor veilig internetbankieren, terwijl men de klanten steeds meer dwingt de virtualiteit op te zoeken. Banken zeggen aan oplossingen te werken, maar diverse praktijkgevallen bewijzen de onveilige handelswijzen van de banken zelf. Tja, dan moet de klant natuurlijk wel zelf verantwoordelijk worden. Het meest veilig is nog steeds niet via internet je geldzaken te beheren.

Op
Webwereld lezen we gelukkig een mooie en eenvoudige oplossing voor een deel van de problemen. Het veilige wachtwoord. Overheden en banken adviseren gebruikers sterke wachtwoorden te gebruiken, die niet zo makkelijk te kraken zijn. Zo raadt de ING aan kleine letters en hoofdletters door elkaar te gebruiken. Een veel gehoorde tip. Maar Webwereld kwam erachter dat het bij het inloggen op ING niet altijd werkt. Ook al heb je zo’n wachtwoord, als je het toch in alleen kleine letters intikt, kom je ook binnen.

In het artikel op Webwereld zegt een beveiligingsexpert, dat je eigenlijk heel andere wachtwoorden moet gebruiken. Niet de 8 kleine en grote letters, maar lange zinnen. Hij stelt dat “liesjeleerdelotjelopenlangsdelangelindelaan” veel veiliger is dan een hoofdlettergevoelig wachtwoord als “5%7*&())xY”. Het mooie daarvan is ook dat je zoiets makkelijker onthoudt, dan ingewikkelder samengestelde codes.
De beveiligingsexpert zegt dat hoe langer een wachtwoord is, hoe veiliger die is. Een code van 8 symbolen is in hooguit een paar maanden gekraakt. Een wachtwoord van lange zinnen kost een kraker 500 tot 1000 jaar. Hij zegt zelf zulke zinnetjes te gebruiken.

Ik en dan welk benieuwd op welke sites hij die gebruikt, want mij overkomt het regelmatig dat een wachtwoord van 12 tekens al niet wordt geaccepteerd. Maar het idee is prachtig. Dus als je als klant je verantwoordelijkheid neemt, sla je voortaan aan het ouwehoeren in je inlogscherm.

Britse traditie ten onder aan internet?

Wachtrij Dat internet de wereld zal veranderen, geldt zeker voor de Britten. Internet is het middel geworden om het o zo beschaafde wachten om zeep te helpen.

Terzijde: de Britten hebben natuurlijk al lang niet meer het patent op de brave rij. Nederlanders doen het minstens net zo goed. Files zijn geaccepteerde rijtjes en zodra een dierentuin zich gratis openstelt, staat er al snel een even keurige rij voor de poort. Dat is trouwens goed nieuws. Het Rotterdamse Blijdorp zet vandaag de dieren gratis te kijk, als protest tegen de bezuinigingen. Is de
massale opkomst een voorbode van de velen rijen die Rutte mag verwachten?

Maar goed, de Britten en hun wereldvermaarde queue’s. De
Payment Council (Raad voor Betaalverkeer) onderzocht de huidige rij-beleving van de Britten. Acht op de tien Britten vermijden wachtrijen door over te gaan op internetbankieren en online shoppen. Een woordvoerster van de Payment Council juicht dat de Britten eindelijk ontwaken uit dat suffe wachtgedrag en de rijen verruilen voor de lijn. De ‘on-line’. Dat moesten meer mensen doen, zegt ze.

Natuurlijk vindt de Payment Council dit een gunstige ontwikkeling. De raad is, onder andere,
door de Britse banken opgezet. En net als de Nederlandse banken, willen die het liefst dat iedereen vooral pint en via internet de bank bezoekt. Met tal van listigheidjes wordt de consument ook die kan op gemanoeuvreerd. Papieren bankafschriften krijg je alleen nog tegen betaling, pinnen wordt gestimuleerd en wie een nieuwe rekening wil openen, wordt met lokmiddeltjes het internetbankieren op gestuurd.
De pinpas is niet gratis en voor veilig internetbankieren wordt de klant verantwoordelijk gesteld. Dat zijn bepaald geen maatregelen die het on-line betaalverkeer stimuleren. Wil de Payment Council de laatste Britten uit de rijen voor de bankfilialen halen, zou de raad niet met een publicitair welgevallig onderzoekje moeten komen, maar eerst de voorzieningen eens in orde moeten maken.

Opstekertje uit het onderzoek: in een rij wachten heeft ook leuke kanten. Jongeren vinden het minder vervelend dan ouderen. Ze maken van de gelegenheid gebruik door met hun mobieltje of I-phone hun zaakjes te regelen of ze vinden het een uitstekende kans contact met anderen te maken. Queuing is socializing. Gewoon een beetje dagdromen hoort ook tot de activiteiten die jonge mensen plezierig vinden aan de rij.
Dat zijn dan weer de voordeeltjes van bezuinigingen. Onthou dat als je straks in langere wachtrijen komt te staan voor gemeenteloketten, omdat er ambtenaren zijn wegbezuinigd.

Wie is er verantwoordelijk achter de schermen?

Beeldschermen Achter de schermen is het niet pluis. De doorsnee internetter verschaft zich met een muisklik toegang tot een wereldwijd netwerk, maar tast dan wel in de digitale duisternis. Gaat er achter de schermen wat mis, dan is de gebruiker daar zelf schuldig aan.
Dat mag je concluderen uit het antwoord dat ICT-jurist Arnoud Engelfriet geeft, op een vraag van een lezer op Security.nl.

De vraag was: mag een bank je verplichten de beveiliging van je computer op orde te hebben?
De vraagsteller wilde internetbankieren en werd geconfronteerd met de kleine lettertjes, waarmee de bank de verantwoordelijkheid voor de beveiliging geheel bij de klant legt. Kan dat? Mag dat?

Arnoud Engelfriet bevestigt dat steeds meer banken eisen dat de klant zelf er voor zorgt veilig te kunnen internetbankieren. Dat blijkt gebaseerd te zijn op twee artikelen uit het Burgerlijk Wetboek.
Artikel 7.529 stelt dat een klant, bij verlies van een betaalinstrument aansprakelijk is tot slechts 150 euro, behalve als de klant nalatigheid valt te verwijten. Artikel 7.524 stelt dat als de klant zijn betaalinstrument kwijt is en vermoedt dat andere ermee aan de haal zijn gegaan, hij onmiddellijk de bank moet inlichten. Dan is hij niet meer aansprakelijk voor de betalingen die met het verloren betaalinstrument worden gedaan.
Een betaalinstrument is bijvoorbeeld je pinpas, maar ook een lijst met TAN-codes.

Vervolgens stelt Arnoud Engelfriet dat de beveiligingseisen die banken de klant opleggen rechtsgeldig zijn, als die eisen redelijk te noemen zijn. Hij vindt de eis een recent virusprogramma te hebben, zo’n redelijke eis.
Dat lijkt mij ook. Het impliceert wel dat de klant ook wordt verplicht het nieuws een beetje te volgen. Fraude met internetbankieren is fors toegenomen, zoemde het gisteren in het nieuws. Het kost de banken ruim vier miljoen euro. Een schadepost die overigens een stuk kleiner is dan de fraude met bankpassen en betaalautomaten. Dat kost de banken 36 miljoen euro.

Zo zijn er dus minimaal twee verplichtingen waar je aan moet voldoen om te kunnen internetbankieren. Een recente pc-bescherming en het volgen van informatie via het nieuws, voorlichtingscampagnes en de informatieve mails van je bank. Een klein beetje moeite, voor een groot gemak.

Het lijkt allemaal heel logisch. Toch valt er heel wat op af te dingen, maar kom daar maar eens om bij een bank.
De banken zien niet graag dat je je geld onder je matras bewaard. En ook niet dat je je bankzaken op de ouderwetse, papieren wijze regelt. Je kan er altijd nog voor kiezen, maar dan wordt je betaalverkeer wel duurder. Er is dus een mate van dwang de consument aan het internetbankieren te krijgen. Prima, maar mag daar dan ook een goede service tegenover staan? Bijvoorbeeld een uitstekende beveiliging door de bank zelf? Daar mankeert nog veel aan, zoals in KRO’s Reporter was te zien.

Maar dan nog. Hoe redelijk de eis ook lijkt, die de bank aan klanten oplegt (cliënt dient zelf zorg te dragen voor de aanschaf van een anti-virusprogramma en personal firewalls), ongelukken voorkom je er niet mee.
Wie het nieuws een beetje volgt (de impliciete eis van de banken), weet ook dat de beveiligingssoftware eerst achter het net vist, voor lekken zijn gedicht en er op nieuwe trucjes van cybercriminelen een afdoend antwoord komt. Daar kun je een doorsnee klant toch niet verantwoordelijk voor houden?