Hoezo mag internetshoppen vanaf 2018 alleen nog met een apart betaalkastje?

webshop-closed-gesloten-geschlossen.pngVanaf 2018 moeten we alle internetaankopen afrekenen met een nieuw ‘pasjeskastje’, omdat de Europese bankentoezichthouder dat veiliger vindt, las ik in de Financiële Telegraaf. De Europese Bank Autoriteit (EBA) heeft nieuwe regels opgesteld voor veilige financiële transacties, en daaruit volgt dat alle transacties boven de 10 euro vanaf eind volgend jaar met een identificatie-apparaatje goedgekeurd moeten worden. Wacht even, wie is de EBA en hoezo bepalen zij dat?

De Europese Bankenautoriteit (EBA) is belast met het toezicht op de banken in de Europese Unie. Zij is een van de financiële toezichthouders die in 2010 zijn ingesteld naar aanleiding van de economische crisis en de grote begrotingstekorten van een aantal EU-lidstaten.

Eén van de taken van de EBA is invullen van de technische normen uit de Payment Service Richtlijn 2, de voorgestelde Europese regels over financiële transacties en bankieren die als opvolger dient van de wetgeving uit 2007. Deze werd in januari aangenomen en zal vanaf 13 januari 2018 van toepassing zijn.

Recent publiceerde de EBA haar consultation paper over dit onderwerp. Hierin suggereert ze allerlei technische en organisatorische maatregelen om betalen en bankieren veiliger te maken. Het belangrijkste voorstel is om een sterke klantauthenticatie in te voeren met eenmalige codes per transactie, die ook nog eens transactieafhankelijk zijn.

Die sterke authenticatie moet een tweefactorauthenticatie zijn, aldus de consultatie: iets dat je weet (zoals een pincode), en/of iets dat je hebt (zoals een kastje), en/of iets dat je bent (bijvoorbeeld een biometrisch kenmerk). Alleen als twee van die dingen ingevoerd worden, mag de transactie worden uitgevoerd. Op zich is tweefactorauthenticatie verstandig, dus niet gek dat dat hier opduikt.

Wel is het natuurlijk een tikje omslachtig, zeker bij kleine transacties. Vandaar dat men voorstelt een uitzondering in te voeren voor transacties op afstand met een waarde van minder dan 10 euro.

Ik haal echter nergens uit dat er een apart kastje móet komen (maar vind het dan weer wel knap hoe de Telegraaf dat ding dan pasjeskastje noemt en je meteen weet wat ze bedoelen.) De paper signaleert dat er een risico is met tweefactorauthenticatie op bijvoorbeeld een smartphone. Als iemand dat apparaat weet te kraken, dan wordt het mogelijk om een valse transactie uit te voeren. Je onderschept de watjeweet-factor door een neptoetsenbord en je vangt de input van de vingerafdrukscanner op, en hopla.

Een apart kastje voorkomt zulke aanvallen, dus logisch dat dat een oplossing kan zijn. Maar het móet niet:

Where any of the elements of strong customer authentication or the authentication code, is used through a multi-purpose device including, but not limited to, mobiles phones and tablets, the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.

Voorbeelden van zulke maatregelen zijn gescheiden trusted execution environments, zodat een hack of malware niet meteen het hele apparaat overneemt.

Dus nee, ik zie nadrukkelijk nergens staan dat er een kastje moet komen. Sterker nog, ik zie nergens überhaupt een aanbeveling voor een apart kastje. Dus tenzij ik iets mis, is dat bericht juridisch onjuist.

Arnoud

26 reacties

  1. Volgens mij doen de meeste NL banken dit al, ABN en Rabobank geven je al een kastje, wat gecombineerd met je pas, pincode en unieke transactie code een response genereerde. Bij rabobank laat men zelfs de transactie ook nog op je scherm van je kastje zien, waardoor men ook niet stiekem een cent per kastje kan stelen.

    Voor Nederlandse banken dus niks nieuws, maar niet andere landen wel!

    P.s. Wintertijd vergeten aan te zetten?

    1. De kastjes van de ABN en Rabo zijn niet uniek. Ik kan dus gewoon het kastje van mijn buurman pakken en daarmee (met mijn pincode) een iDeal betaling doen. Het kastje zorgt dus niet voor een extra laag in de beveiliging maar is er slechts om de pincode te controleren.

      Pas als de kastjes weer uniek worden (wat het vroeger bij de ABN wel was) dan is het nuttig voor 2-trapsauthenticatie.

      1. Die kastjes zijn niet uniek, maar de bankpas die je erin moet stoppen wel. Het kastje kan zonder pasje geen geldige verificatiecode genereren. Ik ga er zonder meer van uit dat de encryptiechip ook daadwerkelijk op het pasje zit. Dan maakt het niet uit of het bijbehorende toetsenbord voor iedereen hetzelfde is.

        1. Die kastjes zijn niet uniek, maar de bankpas die je erin moet stoppen wel.
          Wat NP denk ik bedoelt, is dat als je pas wordt gestolen (bv. via zakkenrollen) iemand met alleen de PINcode kan inloggen bij de bank en al je geld kan overmaken naar een andere rekening. Het zou ook kunnen dat je wordt overvallen en je wordt gedwongen je PINcode af te geven. Ik zou ook graag een uniek kastje hebben. Dat kan ik dan namelijk thuislaten, als ik buitenshuis ben.

  2. De mobiele app van de ABN weigert als er iets overheen ligt (bv blauw filter) Je kunt er wel transacties met alleen je code mee doen maar alleen naar bekende rekeningen, anders moet je alsnog e-dentifier + pasje en pincode. dus volgens mij is dit al geregeld “the authentication procedure shall provide measures to mitigate the risk of the multi-purpose device being compromised.” maar potentieel kunnen ze wel 300 keer inkt voor mijn printer bestellen 😉

  3. Bij Bitcoin bepaalt de gebruiker (hoe kan het ook anders) zelf wat voor beveiliging ‘ie gebruikt.

    Verreweg het meest gebruikte is eenvoudige single-factor authenticatie, waarbij men zich extra beschermt door op de dagelijks gebruikte wallet (bijv. smartphone) maar een klein bedrag te zetten, en de rest goed beveiligd (of zelfs offline) te bewaren.

    Er is ook een bedrijfje dat een apparaatje (“kastje” is een te groot woord, het kan zo aan je sleutelhanger) aanbiedt voor eenvoudige twee-factor authenticatie. Je smartphone heeft één van de twee benodigde sleutels, en maakt transacties aan. Het apparaatje herkent deze half-ondertekende transactie, en beept jou of je de transactie goedkeurt. Zo ja, dan gebruikt het apparaatje zijn sleutel om de transactie volledig ondertekend te maken.

    Er is een ander bedrijf dat twee-factor per SMS aanbiedt. Jij hebt één van de benodigde sleutels, zij een andere. Via SMS-verificatie bepalen zij of ze jouw transacties ondertekenen.

    Om te voorkomen dat jouw bitcoins ontoegankelijk worden kan je 2-van-3 verificatie gebruiken: er zijn 3 sleutels, en elke 2 van de 3 sleutels zijn voldoende voor toegang. De derde sleutel bewaar je veilig offline, en gebruik je alleen als je apparaatje niet meer werkt, of als de SMS-dienstverlener niet meer meewerkt.

    Als er op de een of andere manier regels zouden komen dat beveiliging op één bepaalde manier geregeld moet worden, zou dat vrij dramatisch uitpakken. Dat hebben we in het verleden trouwens al eens gezien, in Zuid-Korea: daar hadden ze een wereld-klasse beveiligingssysteem bedacht voor internetbankieren, en vervolgens verplicht gesteld. Probleem: dat was in de jaren ’90, en het geheel was uitgevoerd als ActiveX-component in Internet Explorer, die alleen werkte in Windows 98. Omdat wetten updaten nogal traag gaat, moesten Koreanen tot voor kort (misschien nog steeds wel?) ergens een windows 98 aan het internet hangen om hun internetbankieren mee te doen, met alle beveiligingsproblemen van dien.

    1. Of een norm (of wettelijke regel) op termijn een ramp wordt hangt er heel sterk van af hoe hij opgesteld is. Wordt het doel op functioneel nivo beschreven “tweefactorauthenticatie” of op technisch nivo “256bit RSA”. Van wat ik hoor liggen de voorstellen van de EBA op functioneel nivo, dus zullen we niet snel aan verouderde technologie vastzitten. (Misschien wel de klanten van een individuele bank.)

  4. Tja, een tweestaps authenticatie lijkt mij ook veilig genoeg voor de meeste bankzaken. Zo heeft de ABN-AMRO de e-dentifier en werkt de ING met tancodes via een papieren lijst of via de mobiele telefoon. Beiden dus in combinatie met een gebruikersnaam en pincode.

    Maar het probleem ligt meer bij de gebruikers die helemaal niet op zoveel authenticatie-stappen zitten te wachten. Via de apps op mijn mobieltje kan ik bij beide banken ook gewoon geld overmaken met alleen een pincode, hoewel ik bij de AMRO nog wel de e-dentifier moet gebruiken als ik geld overmaak naar een onbekende rekening. De ING is daar wat soepeler mee.

    Maar wat problematischer is, is het zogenaamde contactloos betalen wat ik o.a. bij de bakker doe. Dan ga ik naar de bakker en koop croissants, bolletjes en een half wit en kan afrekenen door mijn pinpas langs een apparaat te halen zonder dat ik verder nog maar iets hoef te doen. Ja, dit is wel op zeer korte afstand maar toch… Het kan een nieuwe manier van zakkenrollen introduceren, waarbij steeds kleine bedragen worden gejat. Bedragen die misschien ook niet snel zullen opvallen.

    Verder is WordPress helemaal niet zo prehistorisch maar je moet je server gewoon correct configureren… 😛

    1. Maar wat problematischer is, is het zogenaamde contactloos betalen wat ik o.a. bij de bakker doe. Dan ga ik naar de bakker en koop croissants, bolletjes en een half wit en kan afrekenen door mijn pinpas langs een apparaat te halen zonder dat ik verder nog maar iets hoef te doen. Ja, dit is wel op zeer korte afstand maar toch… Het kan een nieuwe manier van zakkenrollen introduceren, waarbij steeds kleine bedragen worden gejat. Bedragen die misschien ook niet snel zullen opvallen.

      Daarom is het ook ingesteld dat wanneer aaneengesloten contactloze betalingen zonder pincode opgeteld de limiet van € 50,- bereiken, je alsnog een pincode moet intikken.

      1. Dan rol ik toch 1000 mensen voor 25 euro? Die 50 euro limiet is om de schade te beperken als je pasje fysiek gestolen wordt. Ontvangen van contactloze betalingen is niet anoniem. Dat is voor de bakker geen probleem, maar voor de zakkenroller wel: Als je 1000 menzen digitaal zakkenrolt gaan er wel een paar klagen bij de bank. Die vervolgens jouw “opbrengst” terughaald en aangifte doet. En denk maar niet dat je contactloze betalingen direct mag overboeken na ontvangst….

      1. Mijn moeder gebruikt nog de papieren lijst simpelweg omdat ze niet kan omgaan met een mobiele telefoon.

        De App van de ING werkt overigens met een pincode. Bij de AMRO is ook de site beveiligd met een pincode, voor als je niet iedere keer je e-dentifier wilt gebruiken.

        Ik vraag mij sowieso ook af hoe dat straks zal gaan met PayPal, waar je dus 1-factor authenticatie hebt.Da’s eigenlijk niet zo veilig, mede omdat het PayPal wachtwoord gewoon door de browser onthouden kan worden en je een one-click systeem kunt aanzetten zodat je niet steeds opnieuw hoeft in te loggen als je je browser niel sluit. Erg handig, maar niet erg veilig.

        Ook interessant is hoe je bij iTunes gewoon van alles kunt kopen bij Apple zonder dat je je betaalgegevens hoeft in te voeren. Apple onthoudt gewoon je credit card gegevens en kan daarna altijd geld van je rekening afschrijven voor alles wat je online koopt. Heel erg handig!

        Maar ik heb wel gemerkt drat credit card bedrijven wel slimme algoritmes gebruiken om verdacht aankoopgedrag op te sporen. Zo heb ik o.a. via AliExpress een heleboel bestellingen gedaan via hun App, steeds weer kleine bedragen bij de diverse winkels die onder de AliExpress paraplu zitten. Kreeg ik een telefoontje van MasterCard of alles wel in orde was… 😀 Kijk, dat doen ze dus ook!

        1. Ik vraag mij sowieso ook af hoe dat straks zal gaan met PayPal, waar je dus 1-factor authenticatie hebt.Da’s eigenlijk niet zo veilig, mede omdat het PayPal wachtwoord gewoon door de browser onthouden kan worden en je een one-click systeem kunt aanzetten zodat je niet steeds opnieuw hoeft in te loggen als je je browser niel sluit. Erg handig, maar niet erg veilig.

          Kwestie van instellen; sms-verificatie is al bijna een jaar mogelijk (zij het in Nederland via een omweg). Werkt prima! Zie https://tweakers.net/nieuws/106244/tweetrapsauthenticatie-in-paypal-kan-al-geactiveerd-worden.html. Het door de browser laten onthouden is een keus van de gebruiker (net als het opschrijven van een pincode).

      2. Dat papier is al jaren geleden afgeschaft hoor. Althans niet meer mogelijk voor nieuwe gebruikers.

        Het is nog wel degelijk mogelijk om bij ING een papieren TAN-lijst te krijgen als nieuwe gebruiker. Je kunt zelfs je telefoon-TAN omzetten naar een papieren TAN-lijst. Probleempje is wel dat ze default de TAN via SMS willen toesturen, en als je dan geen mobiele telefoon hebt, kun je niet de SMS ontvangen die nodig is om te bevestigen dat je een papieren lijst wil hebben.

  5. Ik denk dat dit veel meer invloed gaat hebben op creditcard transacties. Momenteel hoef je alleen maar je CC nummer en nog wat gegevens in te vullen, plus een driecijferige code op de achterkant, en je kunt iets bestellen. Dus als je een foto van je CC op facebook zet dan ben je al het haasje zeg maar.

    1. Niet zo veilig als aje denkt, aangezien deze via dezelfde pc loopt als het bestelproces. Als je een keylogger hebt, dan weten ze na 1 keer je wachtwoord bij de site waar je bestelt, je visa kaar en cvv code en je verified by visa wachtwoord.

      Eigenlijk is verified by visa helemaal geen twee factor maar één factor beveiliging. Alles om te bestellen staat immers open en bloot op je kaart, behalve je verified by visa wachtwoord.

  6. Het is mooi dat de feiten worden gecontroleerd, maar tegelijkertijd lijkt het artikel een sussende sfeer uit te stralen en te suggereren dat er weinig aan de hand is. Ik snap dat dat het boemrang-effect is van de overdreven stelligheid bij de Telegraaf, maar het doet de ontwikkelingen tekort. De brede tendens is om overal meer controle toe te passen omdat risico’s steeds verder uitgebannen moeten worden. Met die trend in het achterhoofd is het heel goed denkbaar dat er extra controlekastjes zullen komen. Het is goed dat de Telegraaf daar mensen attent op maakt, zodat er een debat kan plaatsvinden over de wenselijkheid daarvan.

  7. Beveiliging is bij betalingssystemen een punt dat continu aandacht vraagt en je wilt hierbij voorkomen dat je achter de feiten aan moet gaan hollen, maar gedachte die zich in dit verband snel opdringt: banken worden steeds banger terrein te verliezen aan de “nieuwe” concurrenten op Internet en proberen hun terrein met alle middelen, inclusief kastjes, te verdedigen. Zou mij ook niet verbazen als de regels van de EBA daar een (eerste) aanzet toe zijn. Een algehele verplichting voor transacties boven 10 euro vind ik nogal streng klinken en past daar goed bij. (T.a.v. banken lijkt me een beetje paranoia niet misplaatst…).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.