Veilig internetbankieren (deel 2)
vr 22 jan 2010 door: SpaarInformatie
In het eerste deel werd uitgelegd welke drie stappen er nodig zijn om internetbankieren veilig te maken. Deze keer wordt gekeken naar de beveiliging van de internet verbinding met de bank.
De twee vragen die belangrijk zijn bij het uitvoeren van betaling via internet zijn:
- Heb ik echt contact met de website van de bank?
- Kan niemand mij afluisteren zodat mijn persoonlijke gegevens veilig zijn?
https en het hangslotje
Laten we beginnen met de tweede vraag. Al het dataverkeer op internet gaat via verschillende computers. Op elk punt kan dit verkeer afgeluisterd worden. Dit kan al beginnen bij een draadloos netwerk. Als uw netwerk niet, of niet voldoende beveiligd is (WEP encryptie is al binnen een paar minuten te kraken), dan kan iemand al "meekijken" (ook wel sniffen genoemd) wat u op het internet aan het doen bent. Als u niet thuis internet, maar bijvoorbeeld in een internet cafe of hotel tijdens de vakantie, bibliotheek of op het werk, dan kan de systeembeheerder van die plek in principe ook al het internet verkeer sniffen. Hierdoor kunnen inlog gegevens in verkeerde handen vallen.
Er is gelukkig een manier om de verbinding te beveiligen. Internetsites kunnen beveiligd worden zodat de hele verbinding, van uw computer tot aan de server van de internet site, beveiligd is. U kunt eenvoudig controleren of de verbinding beveiligd is. Het internet adres begin dan met https. De extra "s" achter http staat voor secure, oftewel veilig. Daarnaast is er slotje zichtbaar dat ook nog eens aangeeft dat de verbinding beveiligd is. U weet nu dat als iemand probeert mee te kijken, dit niet zal lukken omdat alle data gecodeerd is.
Deze beveiliging wordt vooral gebruikt bij websites waar betalingen worden verricht, zoals bij internet bankieren en webshops. Steeds vaker worden ook websites met persoonlijke gegevens op deze manier beschermd.
Ziet u https en een slotje, dan weet u dus dat niemand u kan afluisteren, maar u weet nog niet of de website waarmee u contact heeft ook echt van uw bank is. Ieder site kan namelijk beveiligd zijn, ook een site als bijvoorbeeld www.raboobank.nl, terwijl dit echt niet de site van de Rabobank is. Er is dus nog steeds gevaar voor Phising zoals in deel 1 van deze serie besproken is.
Voorbeeld van een beveiligde site in Microsoft Internet Explorer:
De groene adres balk
In 2007 is een oplossing gevonden voor het probleem hoe duidelijk gemaakt kan worden wie de eigenaar van een website is. Bedrijven en instellingen kunnen bij een klein aantal internetbedrijven eerder genoemde https beveiliging kopen met Extended Validation. Deze Extended Validation houdt in dat tijdens de koop, de gegevens van het bedrijf gecontroleerd worden. Zo moet de website geregistreerd zijn door het bedrijf en moet de naam van het bedrijf overeenkomen met de inschrijving bij de kamer van koophandel. Pas als deze controles uitgevoerd zijn, krijgt het bedrijf de beveiliging.
Als zo'n website bezocht wordt, is meteen duidelijk dat het hier om een gecontroleerde website gaat. Microsoft Explorer maakt de adresbalk groen, en tevens wordt de naam van het bedrijf dat eigenaar is van de website getoond. Steeds meer banken gaan over naar deze nieuwe vorm van beveiliging. Omdat de exacte naam van het bedrijf gebruikt is voor de controle, kan het dus zijn dat er bijvoorbeeld staat: AEGON Nederland N.V. Op deze manier is niet alleen de verbinding beschermd tegen afluisteren, maar weet u ook dat de site echt van uw bank is. Door op het slotje te klikken krijgt u meer informatie over de beveiliging en over de eigenaar van de website. Hieronder twee voorbeelden hoe dit eruit ziet in verschillende web browsers voor MoneYou B.V.:
Voorbeeld van de groene adresbalk in Microsoft Internet Explorer:
Voorbeeld van de groene adresbalk in Firefox:
Steeds meer banken over naar Extended Validation
SpaarInformatie heeft 36 internet sites van banken bezocht. Hieruit bleek dat minder dan de helft (slechts 17 sites) gebruik maken van Extended Validation (de groene adres balk) waardoor de gebruikers zien dat de website echt van de bank is. Het is opvallend dat een aantal grote banken zoals ABN AMRO en Fortisbank Nederland nog op de oude manier hun website beveiligen. Hierdoor wordt de beveiliging van de website niet minder, maar wordt er wel een kans gemist om gebruikers een extra mogelijkheid te geven om de beveiliging te controleren.
[update] ABN AMRO gebruikt inmiddels wel Extended Validation.
De kleinere banken zoals ASN Bank, Triodos, AK Bank en AT Bank maken juist wel gebruik van de Extended Validation. Het is de verwachting dat binnen afzienbare tijd alle banken gebruik van deze techniek zullen gaan maken.