image

"Nieuwe veiligheidsregels internetbankieren zijn vaag"

maandag 2 december 2013, 16:30 door Redactie, 12 reacties

De nieuwe veiligheidsregels voor internetbankieren die Nederlandse banken per 1 januari 2014 invoeren zijn vaag, zo stelt het John Hawes, testdirecteur bij Virus Bulletin. Dit is een organisatie die beveiligingssoftware test en certificeert en conferenties voor de beveiligingsindustrie organiseert.

Hawes, een Brit, reageert op de regels die eind november werden gepresenteerd. Consumenten moeten zich aan deze regels houden als ze in het geval van fraude zeker willen zijn dat ze de schade vergoed krijgen. Zo moeten wachtwoorden en codes geheim worden gehouden, mogen anderen de bankpas niet gebruiken, moet de apparatuur voor internetbankieren veilig zijn, moet de rekening elke twee weken worden gecontroleerd en moeten incidenten direct aan de bank worden gemeld.

Details

Volgens Hawes zijn de regels niet zo bijzonder en liggen punten 2, 4 en 5 voor de hand. Het gaat hier vooral om "gezond verstand", zo laat hij weten. Punt 3, over de beveiliging van de apparatuur, vindt Hawes nogal beperkt. "Toen ik voor het eerst van deze regels hoorde, had ik iets meer details verwacht en had het voorgesteld als een basis voor hoe mensen zich online moeten gedragen."

Hawes ziet dan ook graag dat de veiligheidsregels voor internetbankieren in detail worden uitgewerkt. Bijvoorbeeld in het geval van te kiezen wachtwoorden waarbij er een vereiste voor de lengte en complexiteit is. Ook het beveiligen van apparaten zou in verder detail kunnen worden uitgelegd, zoals vereiste patches en updates voor beveiligingstools.

Vaag

De nieuwe veiligheidsregels noemt Hawes een "redelijk begin", maar hij verwacht dat toekomstige versies duidelijker en gedetailleerder zullen zijn. "Nederlandse consumenten hebben een redelijk vage verzameling regels voorgeschoteld gekregen, waardoor het lastig is om zeker te zijn dat iemand ze volledig volgt. Deze vage regels geven banken ook, als ze dat willen, de flexibiliteit om te stellen dat hun opgelichte klanten niet volledig oplettend en compliant waren."

Hawes hoopt dat de Nederlandse banken begripvol en mild voor hun klanten zullen zijn, maar waarschuwt dat de ruimte die de regels laten eenvoudig door agressievere bankregimes misbruikt kunnen worden.

Reacties (12)
02-12-2013, 17:13 door Anoniem
Ik ga toch niet bijbenen hoe vaak ik mijn rekening controleer?,dat moeten we allen zelf weten.
Men kan mensen niet verplichten om de 2 weken te controleren.
Codes en mijn bankpas krijgt toch al niemand.
Dus veilig bankier ik toch al.
Wat hebben ze toch te zeuren.
02-12-2013, 18:34 door Anoniem
Hoe toon je nou aan dat je je codes geheim hebt gehouden? Komt de bank dan onverwacht bij je thuis kijken of je niet ergens een papiertje met je code hebt liggen?!

Het vroegere argument "ze hebben het zo snel geraden, u zult wel onzorgvuldig geweest zijn" kan altijd nog gebruikt worden, en je kunt je daar niet tegen verweren.

En hoe toon ik aan dat een ander NIET mijn pas heeft gebruikt? Ook daar geldt dat de bank van alles kan beweren en ik kan het tegendeel niet bewijzen.
02-12-2013, 18:40 door Anoniem
Het voordeel van vage regels is dat banken ze een beetje per geval kunnen invullen. Als ze glashelder zijn, zijn ze ook keihard. Wat de klanten zullen willen? De ene keer duidelijkheid, de andere keer vaagheid - wat op dat moment net het voordeligst voor hen is. De klachten zullen straks dus alle kanten uitgaan: te vaag, te hard.
02-12-2013, 22:15 door Anoniem
ik heb het mijn bank al laten weten dat hun ook aan mijn voorwaarden moeten voldoen. als ik aan hun regels moet gaan voldoen. anders hebben hun 1 probleem met mij als klant zijnde;
03-12-2013, 10:24 door Anoniem
Hawes ziet dan ook graag dat de veiligheidsregels voor internetbankieren in detail worden uitgewerkt. Bijvoorbeeld in het geval van te kiezen wachtwoorden waarbij er een vereiste voor de lengte en complexiteit is

Dit is juist een voorbeeld van wat je niet in detail uit moet werken. Ik heb al eerder pogingen gezien. Dan lees je een advies over vervanging van letters door tekens en plotseling heeft iedereen die Peter heet als wachtwoord P3t3r. Of er worden voorbeelden van complexe wachtwoorden gegeven en daarna heeft iedereen een complex wachtwoord (uit een van de voorbeelden).

Het is veel beter om bij het opgeven van een nieuw wachtwoord de complexiteit te laten zien. Er zijn voldoende manieren om dat te doen en je kunt dat eenvoudig aanpassen aan de laatste stand van zaken. Details in voorwaarden betekent dat ze veel langer vastliggen.

En dan heb ik het nog niet over de mensen die beweren dat een wachtwoord bestaande uit twee (verschillende) tekens uit de hele set van letters en cijfers minder complex is dan een wachtwoord dat moet bestaan uit een letter en een cijfer.

Peter
03-12-2013, 11:06 door RickDeckardt
Hoofddoel van deze set regels is aansprakelijkheid en verantwoording neerleggen bij de klant.
Des te vager de regels, des te makkelijker om bij misbruik de schuld bij de klant neer te leggen en -niets- te hoeven uitbetalen.

Rekening leeg? (om wat voor reden dan ook) Oude antivirus? -- "Jammer joh" en "de mazzel"!

Corrupter kunnen we het niet maken, wel minder aansprakelijk.
03-12-2013, 11:09 door RickDeckardt
Door Anoniem: ik heb het mijn bank al laten weten dat hun ook aan mijn voorwaarden moeten voldoen. als ik aan hun regels moet gaan voldoen. anders hebben hun 1 probleem met mij als klant zijnde;

En hier is waar de schoen het meeste wringt. Dit heeft namelijk geen zin. De bank kan de voorwaarden eenzijdig wijzigen, je hebt alleen maar ja en amen te roepen. Als je het er niet mee eens bent, je bent vrij om naar een andere bank te vertrekken.

De wetgever is hier de enige die nog een verschil zou kunnen maken. Helaas wordt die gemasseerd door lobbyisten van de kartels.
03-12-2013, 11:31 door Anoniem
Zomaar wat vragen:

Wat heeft illegale software met bankfraude te maken?
Als legaal verkregen software op meer computers wordt gebruikt dan is toegestaan valt dat dan onder illegale software volgens de bankregels?
Hoe kan ik met zekerheid weten of software illegaal is?
Mag mijn partner mijn pincode niet weten?
Als alleen ik beschik over de pincode hoe zou dan iemand anders mijn pas kunnen gebruiken? (tegenstrijdige regels!).
Wat is “goede” beveiligingssoftware en hoe moet ik deze instellen?
Wat te doen als Windows een update niet wil installeren?
Valt het gebruik van een Linux live CD nu niet meer binnen de regels ondanks dat het veiliger is?
Moet bij gebruik van Linux nu een overbodige virusscanner worden gebruikt?
Hoe moet ik bewijzen dat ik mijn rekening regelmatig controleer?

Een beetje verwarrend, dat wel.
03-12-2013, 12:35 door Anoniem
Door Anoniem: Ik ga toch niet bijbenen hoe vaak ik mijn rekening controleer?,dat moeten we allen zelf weten.
Men kan mensen niet verplichten om de 2 weken te controleren.
Codes en mijn bankpas krijgt toch al niemand.
Dus veilig bankier ik toch al.
Wat hebben ze toch te zeuren.
Als je goed had gelezen, was je er van op de hoogte geweest dat alle grote banken dat NU al in hun voorwaarden hebben staan ;]


Door Anoniem: ik heb het mijn bank al laten weten dat hun ook aan mijn voorwaarden moeten voldoen. als ik aan hun regels moet gaan voldoen. anders hebben hun 1 probleem met mij als klant zijnde;
Natuurlijk, droom lekker verder, maar zo werkt het natuurlijk niet. Jij "wil" dienstverlening, dus jij moet akkoord gaan met de voorwaarden. Je kunt akkoord gaan onder protest, dat geeft je iets meer houvast bij een eventuele rechtszaak, maar meer ook niet.
Het alternatief is een andere dienstverlener zoeken, maar aangezien deze set "regels" voor alle banken geldt, schiet je hier ook niet veel mee op.

Het enige dat werkt, is MASSAAL buitenlandse banken gaan gebruiken, althans, dat is mijn strategie.
03-12-2013, 22:05 door Anoniem
Haal er een paar echte security experts bij en die zullen aantonen dat geen enkele PC volledig veilig is die aan het internet hangt.
Voorts zijn de criminelen in staat je schermen te tonen waarbij het lijkt alsof er met je rekening niets aan de hand is.
Het enige dat helpt is als banken weer papieren afspraken gaan verstrekken, ofwel een 'dual way' oplossing. En dat dan uiteraard gratis ...
09-12-2013, 11:52 door Anoniem
Laten we allemaal weer de tweewekelijkse bankafschriften aanvragen en gaan pinnen bij het loket.
Ook goed voor de werkgelegenheid;-)
10-12-2013, 15:02 door Anoniem
Door RickDeckardt: Hoofddoel van deze set regels is aansprakelijkheid en verantwoording neerleggen bij de klant.
Des te vager de regels, des te makkelijker om bij misbruik de schuld bij de klant neer te leggen en -niets- te hoeven uitbetalen.

Rekening leeg? (om wat voor reden dan ook) Oude antivirus? -- "Jammer joh" en "de mazzel"!

Corrupter kunnen we het niet maken, wel minder aansprakelijk.

Helemaal geen grote bedragen meer op een spaarrekening, dan maar weer een ouwe sok. Er wordt toch bijna geen rente meer gegeven.

Jan
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.