Nieuws
image

Onderzoeker: Internetbankieren kan eenvoudiger en veiliger

woensdag 7 juni 2017, 16:41 door Redactie, 2 reacties

De manier om transacties bij internetbankieren uit te voeren kan eenvoudiger, wat ook de veiligheid ten goede komt, zo stelt onderzoeker Sven Kiljan, promovendus bij de Open Universiteit. De onderzoeker keek gedurende een periode van 2 jaar hoe klanten van 80 banken wereldwijd de aangeboden authenticatiemethoden gebruiken, samen met de manier waarop de banken de communicatie beveiligen.

De gebruikte communicatiebeveiliging is volgens Kiljan veelal uniform en 'goed genoeg' voor dagelijks gebruik. De implementaties van authenticatiemethoden variëren sterk, maar voor transactieauthenticatie wordt enkel het 'What You See Is What You Sign' informatieschema gebruikt. Dit schema stelt gebruikers in staat om op een veilige manier transacties te verifieren die eerder op een onveilige manier naar de bank zijn verstuurd, voordat de transacties worden uitgevoerd.

"Aan de ene kant willen bankklanten dat internetbankieren niet alleen veilig is, maar ook gebruiksvriendelijk. In een commercieel competitieve omgeving wordt elke beveiligingsmaatregel als een afweging tussen gebruiksgemak en veiligheid gezien", aldus de onderzoeker. Hij stelt dat als beveiligingstechnieken niet worden aangepast aan de gebruikers, de kans bestaat dat gebruikers deze (bewust of onbewust) verkeerd inzetten.

Door verkeerd gebruik bestaat de kans dat nieuwe beveiligingstechnieken naast hogere kosten weinig toevoegen aan de bestaande beveiliging. Kiljan keek onder andere naar een nieuw informatieschema om transacties veilig te autoriseren genaamd What You Enter Is What You Sign. Het schema voegt bij de invoer van de gebruiker integriteit en authenticiteit toe aan de transactiegegevens voordat ze verstuurd worden. Het is niet nodig dat de gebruiker achteraf de transacties nogmaals verifieert.

Kiljan concludeert dat de bestaande manier van internetbankieren verbeterd kan worden. Klanten moeten nu twee acties uitvoeren om een bestemmingsrekeningnummer en het bedrag van een transactie door te geven. De methode van de onderzoeker zorgt ervoor dat de klant met één enkele actie (alleen de invoer) deze gegevens aan de bank doorgeeft. Door het verminderen van het aantal acties wordt de ruimte om gebruikersfouten te maken verkleind wat de veiligheid moet vergroten. De onderzoeker zal zijn proefschrift (pdf) aanstaande vrijdag verdedigen.

Reacties (2)
07-06-2017, 22:16 door Anoniem
Heb er eventjes doorheen zitten lezen, mooi en zeer zeker uitgebreid onderzoek. Echter, wat ik vermoed is dat de onderzoeker niet langs geweest is bij de grootbanken om eens te vragen waarvoor zo'n token nou allemaal gebruikt wordt. Want, alleen binnenlandse transacties signeren per stuk.. ja leuk.. maar als ik als MKB bedrijf / ZZP'er er 25 of 50 per week doe, incl. SEPA of international dan signeer ik die liever allemaal tegelijk.
Dan is het terug lezen en verifieren van het scherm toch een stuk efficienter. Ook andere producten van de banken (openen extra spaarrekeningen, limiet verhogen/verlagen, buiten europa aan/uit zetten, adres wijzigen, belegginen, verzekeringen, etc.)

Desondanks een interessante benadering

S
08-06-2017, 00:03 door Anoniem
Helaas geldt na een geslaagde aanval met Banking Trojan malware niet altijd "WYSIWYG" (= What You See Is What You Get). Er kunnen onzichtbaar op de achtergrond door malware gewijzigde opdrachten of nieuwe opdrachten worden verzonden.

Daarom is het belangrijk dat de bank op enigerlei wijze terugcommuniceert welke opdrachten de bank daadwerkelijk heeft ontvangen, zodat de klant de mogelijkheid heeft om tijdig te ontdekken dat de transactielijst niet klopt.
Niets moeilijks aan. Alleen een extra stap.


"Gemakkelijker" betekent meestal niet "veiliger".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search