Wie is er aansprakelijk voor een door de browser onthouden internetbankierenwachtwoord?

ING onderzoekt of het mogelijk is zijn Chrome-inlogpagina weer ondersteuning te laten bieden voor het invullen van wachtwoorden met een wachtwoordmanager. Dat meldde Tweakers onlangs. De bank had dit geblokkeerd uit angst dat mensen hun browser dit laten onthouden, zodat een derde zonder veel moeite vanaf die laptop kan internetbankieren met alle gevolgen van dien. Wachtwoordmanagers zijn veiliger, maar werken met dezelfde herkentechniek voor inlogpagina’s. De maatregel gaf dan ook de nodige ophef, waaronder “maar het is toch jouw keuze of je zo onveilig bent”? Ja, maar bij bankieren zijn de regels net even anders.

Hoofdregel uit het recht is dat je aansprakelijk bent voor je eigen keuzes. Dus als jij de sleutels van je pand slordig opbergt, dan kun je dat moeilijk anderen verwijten. En specifiek bij internetdiensten is het dan ook jouw keuze en jouw risico hoe je wachtwoorden kiest, beheert en toegankelijk maakt.

Natuurlijk, wachtwoorden kunnen worden gestolen of afgekeken. Maar hoe moet een internetdienst weten dat iemands login door een ander gebeurde? Behoudens heel concrete aanwijzingen zou ik dat niet weten. En pas bij een hele grote of belangrijke dienst zou ik vinden dat die actief moeten monitoren op ongebruikelijk inloggedrag.

Specifiek bij banken ligt het iets complexer. De wet zegt namelijk dat een bank altijd aansprakelijk is voor beveiligingsincidenten, behalve bij fraude, opzet en grove nalatigheid van de klant (art. 7:529 BW). Bij gewone slordigheid of onoplettendheid van de internetbankierende consument draait de bank dus op voor ongeautoriseerde transacties, met hooguit een eigen risico van 150 euro voor die consument. Per ongeluk of uit gemakzucht kiezen voor het onthouden van je inlogwachtwoord voor bankieren lijkt mij een gevalletje slordigheid en géén grove nalatigheid.

Dit risico komt ook weer terug in de Uniforme Veiligheidsregels van de banksector, die expliciet over beveiligingscodes vermelden:

Schrijf of sla de codes niet op. Of, als het echt niet anders kan, alleen in een voor anderen onherkenbare vorm die alleen door uzelf is te ontcijferen. Bewaar in dit geval de versleutelde informatie niet bij uw bankpas of bij apparatuur waarmee u uw bankzaken regelt;

Ik kan dit niet anders lezen dan dat je je browser geen wachtwoorden mag laten opslaan, maar dat je ook geen wachtwoordmanager mag gebruiken. Die “apparatuur” is immers je laptop of telefoon, en de wachtwoordmanager slaat daar het wachtwoord bij op. Dus wat dat betreft is ING wel consistent.

Tegelijk: een wachtwoordmanager en dan een stevig master password is gewoon de beste manier om jezelf te beveiligen bij online diensten. Dus dit voelt als een best wel fundamenteel dilemma.

Arnoud

24 reacties

  1. Wat mij vooral verbaasd is dat veel banken de twee stappen authenticatie aan het afschaffen zijn (rabobank bijvoorbeeld)

    Dus ze maken het eerst zelf een stukje onveiliger voor ons gemak, om vervolgens het weer moeilijker te maken…

    Wat is de logica achter dit?

    1. Voor zover ik weet is de Rabobank vooral bezig om het inloggen gebruikersvriendelijker te maken door in plaats van een los kastjes alles te integreren in een app. Je hebt echter nog steeds meerdere factoren nodig om in te loggen, namelijk je eigen telefoon en een pincode of vingerafdruk.

      1. Een pincode is het zelfde als een wachtwoord in mijn beleving (eigenlijk slechter omdat het alleen maar cijfers zijn en niet zo lang is). Dus als men eenmaal je telefoon heeft blijft er weinig beveiliging over… Die gebruikersvriendelijkheid heeft dus directe gevolgen voor de veiligheid. Mijn vrees is dus vooral dat men manieren aan het zoeken is de verantwoordelijkheid makkelijker bij de klant te kunnen leggen ipv dat men echte veiligheid nastreeft…

        1. Als een pinpas en 4 cijfers voldoende is, waarom een mobiel met 5 cijfers niet?Buiten dat, cash kan ook gestolen worden. Ik ben erg blij dat ze bij de RABO eindelijk niet zo krampachtig meer doen over veiligheid. Je kan in de app zelf je bestedingslimiet zonder scanner per dag instellen, standaard is dat 100, maar je kan daar ook meer of 0 euro van maken.

          1. Als iemand de pincode van je app weet en je mobiel steelt, dan ben je de Sjaak. Als iemand de pincode van je ‘kastje’ weet, dan moet diegene óók nog je pinpas stelen. Dat zijn dus twee dingen i.p.v. 1 die gestolen moeten worden. Of terwijl: een los kastje + pinpas is dus veiliger.

            1. En als het goed is ook nog eens je biometrische kenmerken of het sterke wachtwoord om de telefoon te unlocken, je telefoon niet beveiligen tegen unlocken maar er wel financiële apps op draaien is ook niet meer echt van deze tijd.

      2. In de normale browser willen ze ook dat je met een 5-cijferige code kunt inloggen en betalen. De raboscanner voelt dan toch veiliger aan. Met name voor transacties ben ik er groot voorstander van.

      3. Dan moet de Rabobank wel de klanten van hun die de app niet kunnen installeren op hun telefoon wel een andere veilige optie (scanner) aanbieden. Derhalve is het een zinloze actie die de Rabobank nu doet. Immers zijn er heel veel klanten van de Rabobank die niet de modernste smartphone hebben of überhaupt een smartphone hebben.

        Of de Rabobank gaat die klanten dan gratis een moderne smartphone geven. Immers willen zij de mogelijkheid die er nu is aanpassen. Dus zouden ze voor de kosten moeten opdraaien die zij hun klanten opleggen. 😉

        1. Waarom? De klant heeft toch de mogelijkheid om over te stappen naar een andere bank? In de praktijk zal de Rabobank daar hun klanten natuurlijk niet toe dwingen maar juridisch denk ik dat ze helemaal niets hoeven.

  2. Wat ook heel raar is: Firefox BLIJFT me vragen om wachtwoorden te mogen opslaan, ook als ik elke keer vertel dat ik dat nooit meer wil. Wanneer halen ze DIE irritante bug (die ik overigens niet gemeld heb) er eens uit?

    Zo zie je maar dat open source software ook niet vanzelf correct, veilig of gebruiksvriendelijk maakt.

    1. Dit is natuurlijk geen help forum. Maar vooruit: “Firefox BLIJFT … vragen”. Per website/pagina kan Firefox onthouden of je het wel, nu niet, of nooit niet op wilt slaan. Tegenwoordig zijn hiervan de eerste twee opties het makkelijkst te kiezen. Naast de “nu niet” (niet letterlijk) optie zit een dropdown knopje. Daarlangs kun je de “nooit niet” optie kiezen.

      Als je Firefox überhaupt geen wachtwoorden op wilt laten slaan kun je dat via (ik noem hier de Engelstalige stappen) ‘Hamburger menu rechtsboven > Options > Privacy & Security > Ask to save logins and passwords for websites’ uitvinken.

      1. Per website/pagina kan Firefox onthouden of je het wel, nu niet, of nooit niet op wilt slaan.

        O, per pagina! Daar was ik nou nooit opgekomen. Dat hadden ze er dan wel eens bij mogen zetten. Nooit is voor mij nooit. Dus ook nergens.

        Werkt wel, inderdaad. Maar als je met ctrl-shift weer eens de historie e.d. weggooit (excl. cookies) is-tie dat weer vergeten. Zinloos dus.

  3. Als het risico voor de cliënten tot 150 euro ligt dan zou ik het prettig vinden als ik de limieten op contactloos betalen zou kunnen verruimen waarbij mensen zelf optioneel de betaallimiet op hun pas van 25/50 tot 50/150 euro zouden kunnen opschuiven.

    1. Je wilt dus dat criminelen grotere betalingen draadloos op jouw bankpas kunnen doen? (Bijvoorbeeld met een proxy-attack, waarbij de rfid communicatie uit de pinterminal naar de pinpas in iemands tas omgeleid wordt.)

      1. En hoe vaak gebeurt dat nu? Precies nul keer tot en met 2017. Criminelen zijn hier nog niet erg mee bezig. 50 euro is niet een schokkend limietbedrag voor 1 opname en bovendien zou het zoals ik al zei opt in zijn

        1. Het heeft ook een aantal jaar geduurd sinds Hack-tic aantoonde dat de magneetstrips op betaalpassen simpel te kopiëren zijn totdat “skimming” zo’n omvang had aangenomen dat de banken zijn overgestapt op een betaalpas met chip en gebruik van de magneetstrip (bijna) niet meer toestaan.

          Ik geef toe dat qua inkomsten/geval CEO fraude interessanter is voor de gemiddelde crimineel, maar als de pakkans klein genoeg is is kruimelfraude lonend.

      2. Daar hebben we speciale portemonnees voor uitgevonden, die dat soort dingen tegenhouden. O.a. de EFF biedt zulke portemonnees aan, maar ook binnen Nederland (dus zonder importkosten aan de EFF) kun je die dingen kopen.

    1. Oeps. Ik had JavaScript uit staan. Dit was bedoeld als reactie op Ruud Harmsen 13 juli 2018 @ 10:41 . Maar ik kan bovenstaande niet bewerken (opslaan verandert niets). Dus dan maar deze update.

      Edit: Zucht. Wat voor rare cache zit er op deze pagina? Nu is bovenstaand bericht wel aangepast.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.