image

Juridische vraag: Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

woensdag 18 juli 2018, 17:28 door Arnoud Engelfriet, 26 reacties

Ict-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.

Vraag: Ik las dat in de nieuwe inlogpagina van ING Internetbankieren wachtwoordmanagers niet meer werken. Men maakt zich zorgen over het automatisch opslaan van wachtwoorden in de browser. Dit zou namelijk risico's met zich meebrengen, bijvoorbeeld als iemand toegang tot de computer krijgt, aldus de bank. Dat is toch raar, wachtwoordmanagers zijn toch veiliger dan gele briefjes?

Antwoord: Dat klopt, wachtwoordmanagers zijn veiliger, maar ze werken met dezelfde herkentechniek voor inlogpagina’s. Dus als je bang bent dat mensen hun wachtwoorden gaan laten bewaren met onveilige browsers, dan krijg je deze collateral damage. Het viel me op dat er veel reacties kwamen van het type "maar het is toch jouw keuze of je zo onveilig bent"? En dat begrijp ik, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die "apparatuur" is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Je wachtwoord hoort dus niet op het apparaat te staan waarmee je bankzaken regelt. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.

Reacties (26)
18-07-2018, 18:22 door Anoniem
Als je nou het data-file van die password manager op een externe disk hebt staan... Dan voldoe je aan de letter van de regel. *Iets* zegt me dat die bank dan toch gaat proberen jou de schuld in je schoenen te schuiven...
18-07-2018, 19:08 door Anoniem
Dit zou namelijk risico's met zich meebrengen, bijvoorbeeld als iemand toegang tot de computer krijgt, aldus de bank. Dat is toch raar, wachtwoordmanagers zijn toch veiliger dan gele briefjes?

Die stelling wil ik - onder omstandigheden - toch echt bestrijden.
De gele briefjes zijn een (groter) risico als de mensen voor wie je het password geheim wilt houden fysiek in de buurt van je computer lopen.
De wachtwoord manager is at risk jegens software die de computer kan overnemen - zowel voor compromise , als voor verlies van de data - [denk ransomware] .

Als je geen untrusted mensen fysiek in de buurt hebt, is het risico van een hack (met verlies van de wachtwoordmanager data - hetzij gelekt, of simpelweg niet meer beschikbaar bij ransomware) al snel groter dan het risco van een fysieke inbraak.

Op een kantoor ,of andere shared omgeving waarbij je credentials juist wilt/moet beschermen tegen mensen die de ruimte delen is die afweging anders.
18-07-2018, 20:02 door Anoniem
Ik herinner mij dit bericht over ING nog: https://www.security.nl/posting/31149/ING+negeert+hoofdletters+in+wachtwoorden.

Met deze praktijk gooi je zo 26 van de 96 combinaties per teken weg. En met het verheffen tot de macht van het aantal tekens van je wachtwoord, tikt dat aan.

Ik zou die gasten van ING niet serieus nemen. Tenminste niet op het gebied van ICT beveiliging.
18-07-2018, 20:37 door tarunjj
Toch grappig dat in mijn browser (MacOS Safari) dat inloggen met een onthouden wachtwoord nog steeds werkt. Dus ING of Apple doen het net even anders?
18-07-2018, 23:32 door Anoniem
Door Anoniem: Ik herinner mij dit bericht over ING nog: https://www.security.nl/posting/31149/ING+negeert+hoofdletters+in+wachtwoorden.

Met deze praktijk gooi je zo 26 van de 96 combinaties per teken weg. En met het verheffen tot de macht van het aantal tekens van je wachtwoord, tikt dat aan.

Ik zou die gasten van ING niet serieus nemen. Tenminste niet op het gebied van ICT beveiliging.

Leg dat eens verder uit in relatie tot het locken van een account na 7 pogingen ?
19-07-2018, 08:17 door 5ec5ec
Door tarunjj: Toch grappig dat in mijn browser (MacOS Safari) dat inloggen met een onthouden wachtwoord nog steeds werkt. Dus ING of Apple doen het net even anders?

Als je het artikel even leest zie je inderdaad dat het Apple/Safari niet raakt.
19-07-2018, 08:45 door Anoniem
Antwoord: Dat klopt, wachtwoordmanagers zijn veiliger, maar ze werken met dezelfde herkentechniek voor inlogpagina’s.

Een wachtwoord manager, die bijvoorbeeld in de cloud je gegevens op slaat, en welke te maken krijgt met een data breach, is dus veiliger dan een briefje op mijn kast, in een afgesloten kamer thuis ? Kom nou toch.

Willekeurig voorbeeld :

Password manager OneLogin hacked, exposing sensitive customer data
https://www.zdnet.com/article/onelogin-hit-by-data-breached-exposing-sensitive-customer-data/

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Die stelling is twijfelachtig. Het kan veiliger zijn, maar het lijkt alsof je blindelings er vanuit gaat dat iedere password manager werkelijk veiligheid biedt. En dat hoeft niet zo te zijn.

@Arnoud: Vergeet niet dat je jurist bent, en geen IT beveiliger. Of een wachtwoordmanager echt veiliger is, hangt heel erg van de implementatie af.
19-07-2018, 08:49 door Anoniem
Hoeveel kwaadaardige ''password vaults'' zouden er worden aangeboden in de app stores ? Waarbij je je wachtwoorden deelt met jezelf *en* met cybercriminelen ? Maarja "password vault" = "veiligheid" is het niet ? Of is de ene password vault de andere niet ?
19-07-2018, 08:52 door Anoniem
Door Anoniem: Ik herinner mij dit bericht over ING nog: https://www.security.nl/posting/31149/ING+negeert+hoofdletters+in+wachtwoorden.

Met deze praktijk gooi je zo 26 van de 96 combinaties per teken weg. En met het verheffen tot de macht van het aantal tekens van je wachtwoord, tikt dat aan.

Da's een jaar of 7 geleden. Al lang en breed niet meer van toepassing. Kom je straks met verhalen over zwakheden in pinautomaten in de jaren negentig, om aan te geven hoe veilig dergelijke zaken vandaag de dag zijn ?
19-07-2018, 09:45 door Anoniem
Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten.

- IP restricties, waardoor je weet of het vanaf de verbinding komt van de account eigenaar
- Multi-Factor authenticatie, zodat onderschepte credentials niet bruikbaar zijn
- Meerdere logins, binnen kort tijdbestek, vanaf geografisch verschillende lokaties (zelfde principe als pinnen in 2 landen tegelijk)

Er zijn tal van manieren om te voorkomen, of te detecteren, dat iemand die inlogt bij een internet dienst, waarschijnlijk niet de legitieme gebruiker is.

Ga eens praten met fraude afdelingen van banken, en credit card maatschappijen, die zijn gespecialiseerd in dit soort vraagstukken ;)
19-07-2018, 10:04 door Anoniem
Door Anoniem: Leg dat eens verder uit in relatie tot het locken van een account na 7 pogingen ?

pASsWOrD
?
19-07-2018, 11:57 door Anoniem
Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.
Niet als 2FA bij aanloggen wordt gebruikt, liefst met een apart hardwaretoken met een eigen toetsenbordje voor de pincode. Dan is er geen enkele reden om nog een wachtwoord voor de website te hebben.

ING heeft daar nooit aan willen beginnen omdat dat allemaal te lastig zou zijn voor de klant. Rabo heeft een oplossing die wat mij betreft extreem makkelijk in het gebruik is die ze helaas weer afbouwen ten gunste van in mijn ogen inferieure oplossingen.

Maar het kan. Je wilt een eindpunt voor authenticatie en non-repudiation waar niet mee te knoeien valt met keyloggers of malware en dat regel je door een apparaatje te leveren waar de gebruiker of malware op de pc van de gebruiker niets aan kan veranderen. Het is een opgelost probleem, en bankzaken zijn wat mij betreft belangrijk genoeg om de extra kosten voor die apparaatjes en het beetje ongemak dat het gebruik ervan oplevert ruimschoots te rechtvaardigen.
19-07-2018, 13:42 door Anoniem
Ik gebruik LastPass als browser add-on met Firefox en daarmee kan je gewoon bij ING inloggen
19-07-2018, 15:31 door Anoniem
pASsWOrD
?

Dit is een uitleg ? Wat wil je duidelijk maken ?
19-07-2018, 20:12 door Anoniem
Door Anoniem:
pASsWOrD
?

Dit is een uitleg ? Wat wil je duidelijk maken ?

Welk wachtwoord krijg je als je van alle hoofdletters kleine letters maakt? Zoals ING doet (deed)?
Juist. Het meest gebruikte wachtwoord op aarde.
19-07-2018, 22:37 door Anoniem
Door Anoniem:
Door Anoniem:
pASsWOrD
?

Dit is een uitleg ? Wat wil je duidelijk maken ?

Welk wachtwoord krijg je als je van alle hoofdletters kleine letters maakt? Zoals ING doet (deed)?
Juist. Het meest gebruikte wachtwoord op aarde.

En wou je nou werkelijk argumenteren dat mensen wel 'password' kiezen, maar met verschillende capitalisatie en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?
20-07-2018, 04:07 door Anoniem
Door Anoniem: Ik herinner mij dit bericht over ING nog: https://www.security.nl/posting/31149/ING+negeert+hoofdletters+in+wachtwoorden.

Met deze praktijk gooi je zo 26 van de 96 combinaties per teken weg. En met het verheffen tot de macht van het aantal tekens van je wachtwoord, tikt dat aan.

Ik zou die gasten van ING niet serieus nemen. Tenminste niet op het gebied van ICT beveiliging.

Dat was 2011. Het wachtwoord is bij ING nu wel wachtwoordgevoelig. Je kunt zelfs niet alfanumerieke tekens gebruiken.
20-07-2018, 08:37 door Anoniem
Door Anoniem: En wou je nou werkelijk argumenteren dat mensen wel 'password' kiezen, maar met verschillende capitalisatie en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?

Assumption is the mother of all fuck-ups.
20-07-2018, 10:23 door Anoniem
... en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?

Tja, ik zou aan de architect van het systeem vragen hoe het kan dat gebruikers zo'n wachtwoord *kunnen* kiezen. En ik zou graag het gehanteerde security control framework nalopen, om te kijken wat daarin verbeterd moet worden. Wijzen naar de kiezer is zo gemakkelijk, het kiezen van sterke wachtwoorden dient men technisch af te dwingen.

Dan kan je in awareness sessions aangeven waarom gebruikers geen zwakke wachtwoorden kunnen kiezen. Ipv proberen hen te ontmoedigen om dat te doen, wat je technisch gezien simpelweg kan voorkomen.
20-07-2018, 10:35 door Anoniem
Het wachtwoord is bij ING nu wel wachtwoordgevoelig.

Het wachtwoord is wachtwoordgevoelig ? Wat bedoel je ?

Je kunt zelfs niet alfanumerieke tekens gebruiken

Geen cijfers, en geen letters ? Weet je het zeker ?

Assumption is the mother of all fuck-ups.

Vertrouwen op awareness, zonder een goed security control framework om zaken als sterke wachtwoorden af te dwingen, eveneens.
20-07-2018, 11:35 door Anoniem
Door Anoniem:
Door Anoniem: En wou je nou werkelijk argumenteren dat mensen wel 'password' kiezen, maar met verschillende capitalisatie en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?

Assumption is the mother of all fuck-ups.

Zoals PaSsWoRD gebruiken en denken dat je goed bezig bent.
20-07-2018, 12:00 door Anoniem
Door Anoniem:
Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten.

- IP restricties, waardoor je weet of het vanaf de verbinding komt van de account eigenaar

't was een goede tijd, een paar decennia geleden. Toen internet nog altijd van een vaste verbinding kwam, en het IP adres min of meer altijd beperkt was tot een enkele aansluiting.

Nu heb je op mobiele devices carrier NAT , gaat dat er ook aankomen op vaste verbindingen, en doen mensen ook nog wel eens hun bankzaken op kantoor .

Oftewel - vanaf de bank gezien kan dezelfde klant-sessie heel snal wisselen van IPs - thuis vast (en daarna even op de tablet kijken met 4G), en zelfs vanuit buitenland en nederland . (groot bedrijf, internet breakout toevallig in een buitenland), en als je even later thuis bent weer uit nederland.

Dan hoef je nog niet eens de VPN gebruikers mee te nemen die hun netflix/amazon prime vpn nog op hebben staan (VS breakout) als ze bankieren, en even later weer in nederland zijn.

De aanname die je maakt dat een IP adres enigszins stabiel overeenkomt met een huisaansluiting en inloggende mensen niet heel snel kunnen aankomen met een IP waarvan de geolocatie zegt 'ver weg' is gewoon hard aan het verdwijnen.


- Multi-Factor authenticatie, zodat onderschepte credentials niet bruikbaar zijn

Dit is wel nuttig. Dat doen de NL banken dus ook.


- Meerdere logins, binnen kort tijdbestek, vanaf geografisch verschillende lokaties (zelfde principe als pinnen in 2 landen tegelijk)

Zie boven. Dat gaat vaak niet op voor IPs. Het verschil met ATMs is dat de bank daar _wel_ weet dat die dingen vast staan en dat de pinner er fysiek voor moet staan om te pinnen.


Er zijn tal van manieren om te voorkomen, of te detecteren, dat iemand die inlogt bij een internet dienst, waarschijnlijk niet de legitieme gebruiker is.

Ga eens praten met fraude afdelingen van banken, en credit card maatschappijen, die zijn gespecialiseerd in dit soort vraagstukken ;)

Inderdaad, alleen zijn IP adressen dus net iets minder handig. (Ik verwacht wel dat ze er óók naar kijken, maar 'normale' gebruikers kunnen dus vrij makkelijk en -voor de gebruiker ongemerkt - van behoorlijk verschillende adressen komen.)
credit card maatschappijen zijn sinds lang erg goed in het herkennen van afwijkende patronen in de transacties - dat moesten ze wel, omdat de 'authenticatie' altijd zeer summier was.
Banken zijn dat pas later gaan doen, omdat die veel hadden opgehangen aan het idee van sterke authenticatie met alle mooie 2FA modellen.
20-07-2018, 13:30 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: En wou je nou werkelijk argumenteren dat mensen wel 'password' kiezen, maar met verschillende capitalisatie en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?

Assumption is the mother of all fuck-ups.

Zoals PaSsWoRD gebruiken en denken dat je goed bezig bent.

Waarom niet? Een aanvaller heeft dan 7 kansen om uit 256 mogelijkheden te kiezen. Dat is een 2,7% kans. En dan moeten ze ook nog je usernaam weten. Die je bij ING ook geheim moet houden om een DOS te voorkomen.
20-07-2018, 21:57 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: En wou je nou werkelijk argumenteren dat mensen wel 'password' kiezen, maar met verschillende capitalisatie en dat die mensen dan echt denken dat ze 't best wel veilig gekozen hebben omdat ze het meest gebruikte wachtwoord op aarde met verschillende caps schrijven ?

Assumption is the mother of all fuck-ups.

Zoals PaSsWoRD gebruiken en denken dat je goed bezig bent.

Waarom niet? Een aanvaller heeft dan 7 kansen om uit 256 mogelijkheden te kiezen. Dat is een 2,7% kans. En dan moeten ze ook nog je usernaam weten. Die je bij ING ook geheim moet houden om een DOS te voorkomen.

Bestaande woorden zijn geen goede wachtwoorden.
Random wachtwoorden zoals bv. dit: k48vf3htx71rp2 zijn veel beter.
21-07-2018, 10:21 door Anoniem
Door Anoniem: Bestaande woorden zijn geen goede wachtwoorden.
Random wachtwoorden zoals bv. dit: k48vf3htx71rp2 zijn veel beter.

Dan zijn we weer terug bij de oorspronkelijke vraagsteller: Zou je voor ING een wachtwoordmanager gebruiken? Vooral omdat ING verplicht regelmatig een nieuw wachtwoord te kiezen?
21-07-2018, 20:09 door Anoniem
Door Anoniem:
Door Anoniem: Bestaande woorden zijn geen goede wachtwoorden.
Random wachtwoorden zoals bv. dit: k48vf3htx71rp2 zijn veel beter.

Dan zijn we weer terug bij de oorspronkelijke vraagsteller: Zou je voor ING een wachtwoordmanager gebruiken? Vooral omdat ING verplicht regelmatig een nieuw wachtwoord te kiezen?

Ik zou geen wachtwoordmanager gebruiken en ook geen wachtwoorden laten onthouden door de browser. Een textbestandje met je inlognamen en wachtwoorden is makkelijk zat (Copy & Paste) zo hou je alles in eigen beheer. Voor de zekerheid zou je dat textbestandje encrypted kunnen bewaren op een usb stick. Wachtwoorden onthouden is onbegonnen werk, gebruik die grijze massa liever voor het onthouden van je PIN-code en het cijferslot van je fiets. ;)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.