Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 59 reacties
Bron: Automatiseringgids, submitter: crazyindo

Een kwart van alle gebruikers van internetbankiersystemen twijfelt aan de veiligheid van deze software zo lezen we bij de Automatiseringgids. Deze gegevens komen uit een onderzoek van de Consumentenbond onder 1400 internetbankierders. Daarnaast werden de zes grootste banken (ABN Amro, Fortis, ING, Postbank, Rabobank en SNS) aan de tand gevoeld over de werking van hun programma's. De consumentenbond vindt dat de banken nog wel wat aan hun programma's kunnen verbeteren, bij een aantal banken blijkt het saldo pas na ruim een dag actueel te zijn. De banken geven aan dat een systeem nooit voor honderd procent veilig zal zijn. Schade ondervonden door problemen met het programma of de beveiliging zijn voor eigen risico. Niet alleen de software van de bank speelt hierin een rol, ook andere programma's zoals de gebruikte webbrowser zijn soms belangrijk. In oktober vorig jaar werd in het programma Netwerk een probleem aangetoond met Internet Explorer. De gebruiker kan echter ook zelf ook bijdragen aan de veiligheid van het online bankieren:

euro'sOf online bankieren 100% veilig is, kunnen banken nooit garanderen. Er kan altijd iets mis gaan. Consumenten moeten zelf in ieder geval een aantal dingen doen (firewall installeren, laat de computer geen standaard cookies accepteren en controleer de opdrachten voordat je ze verzendt) om zo veilig mogelijk te bankieren via internet.
Moderatie-faq Wijzig weergave

Reacties (59)

Waarom werkt Rabobank internetbankieren niet fatsoenlijk met het veiligere Mozilla ??? :(
Over Abn ben ik dan wel tevreden. Echter, ik blijf ook nog behoorlijk paranoia uiteraard.
Ik heb 2 passen /account en mijn internetpas komt niet buiten en omgekeerd.
Werkt perfect met Mozilla, mits de instellingen goed staan:
- cache uit
- keep-alive uit
- popupkiller uit
- cookies aan, in tegenstelling tot wat in dat artikel staat. Ik zie niet wat cookies voor een veiligheidsprobleem kunnen geven.
Behalve dan dat je tonnen met mails krijgt met daarin de mededeling dat je de verkeerde software gebruikt..

Dit heeft een kennis van mij dus, want IE werkte niet meer goed ism dat bankieren, dus ik firebird erop zetten, en die gast zijn mailbox loopt over van de rabobank-troep.
Ik denk dat jij niet weet waar cookies voor gebruikt worden: http state management.
Dat heeft helemaal niks met rommel in je mailbox te maken. Alle info die in een cookie staat, heb je zelf eerst vrijgegeven. Laat die kennis eens het programma AdAware draaien en wat voorzichtiger zijn met het gebruiken van z'n email adres.
Ik ben niet helemaal gek ofzo. Ik kan heus wel lezen wat er in zo'n email staat. Er staat namelijk dat je IE moet gebruiken en dat netscape, mozilla etc niet werken voor de rabo-online-bankieren (wat dus gelogen is)

Mag ik vragen wat dat met cookies te maken heeft
Sorry, dan heb ik je verkeerd begrepen. Ik dacht dat je op mijn opmerking over cookies reageerde.

Die mails waar je het over hebt, komen die van de helpdesk af? Als het goed is staat daar niet in dat Mozilla e.d. niet werken, maar dat de site geoptimaliseerd is voor MSIE (standaard antwoord) en je dus geadviseerd wordt om die te gebruiken. Afhankelijk van de helpdesker die de mail beantwoordt wordt krijg je soms nog wat onofficiele tips erbij om het toch werkend te krijgen met die alternatieve browsers.

Zo'n mail krijg je als het goed is alleen als je zelf een vraag stelt aan de helpdesk. Daarom ben ik nogal verbaasd over je opmerking dat "je tonnen met mails krijgt" daarover.
Het werkt ook met Netscape 7. Alleen moet ik soms een betaalopdracht 2 maal invoeren, omdat de 1ste niet "gepakt" heeft.

En dat irritante eerste schermpje, waarin je steeds weer gepusht wordt richting IE.

Dat de Rabobank helemaal overgegaan is op MS software (behalve de Secure Login van Novell oplossing, die nog wel bij hun gebruikt wordt, omdat Microsoft geen oplossing had die secure genoeg was; Secure Login heeft trouwens tijdens de laatste Microsoft Technet meeting de prijs voor beste secure authenticatie tool gekregen) hoeft toch niet te betekenen dat de klanten dit gelijk ook maar moeten doen?
Vooral niet gezien al die problemen m.b.t. beveiligingslekken in IE.
Ik ben softwareontwikkelaar bij de Rabo en we werken zelfs nog met IE4 om te ontwikkelen. Nu de rabo-site overgegaan is naar IE6, krijgen wij zelfs als interne mensen een error dat de site alleen toeganklijk is voor IE6.. dhuh!!
Het werkt ook met Netscape 7. Alleen moet ik soms een betaalopdracht 2 maal invoeren, omdat de 1ste niet "gepakt" heeft.
Daar heeft IE ook af en toe last van. Meestal werkt een rechtermuisknop-refresh prima.
Waarom werkt Rabobank internetbankieren niet fatsoenlijk met het veiligere Mozilla ???

Waarschijnlijk omdat het, vanwege het lage percentage rabobezoekers met Mozilla, economisch niet rendabel of interessant is om hierin te investeren.
Het is waardevol om korrekte HTML te schrijven, die voldoet aan de W3C HTML standaard.

Zodoende geef je mensen een keus welke browser ze willen gebruiken. Aangezien HTML een standaard is, kan iedereen de browser van hun keus gebruiken, zolang deze maar standaards-compliant is.

Een bedrijf dat alleen designed voor MSIE neem ik niet serieus, omdat zij mij niet serieus nemen.
Mensen laten alleen erg snel over zich heen lopen omdat het gemakkelijker is zelf aan te passen dan een bedrijf zover te krijgen dat ze het gaan doen. De banken hebben er maling aan of klanten hun niet serieus nemen. De managers kijken niet of de techniek werkt, zolang er maar genoeg klanten blijven of er genoeg geld binnen blijft komen gaan ze rustig door met waar ze mee bezig zijn. Aan die standaarden hebben ze vaak maling omdat het gewoon teveel geld kost om zich daarvoor in te zetten en ze hebben er daarbij vaak geen verstand van.
Merkwaardig, ik gebruik al tijden Mozilla bij het internet bankieren van de Rabobank. Je moet wel even een paar dingen rechtzetten:
- de irritante pagina wegklikken die zegt dat de site alleen met IE werkt.
- zorgen dat je de rabobank site toestaat pop-up windows te genereren.
- Javascript moet je ook wel aan hebben staan.
Ik ben direct eens dat het allemaal niet erg elegant is, maar het is wel degelijk goed te gebruiken.
Zelfde geldt voor Opera.
Ik vind wel erg slordig van hen dat ze niet een website kunnen maken die aan de W3C standaarden voldoet.
Je kan gewoon lekker internetbankieren en je nergens zorgen over maken.
Als er een transactie wordt gedaan die je niet hebt gedaan.... :'( dan kun je altijd weer een restitutie van de bank vragen. Dit is net als bij creditcard-fraude (komt heel vaak voor, maar de banken verzwijgen het liever en betalen het bedrag terug).

Wat gevaarlijker is, is skimming in winkels..dat wordt een steeds groter probleem. Ik dacht dat onzin was, maar een vriend van me is in Turkije voor 800 euro opgelicht. maar dat kregen ze dus niet terug van de bank!
Ook pinnen, waarna je wordt neergestoken is niet echt veilig ....toch?
Telebankieren is daarom misschien nog het veiligst, want als het mis gaat, vergoed de bank het!
Ik heb de algemene voorwaarden van de Postbank eens doorgelezen, en de aansprakelijkheid ligt gewoon bij mij als er iets fout gaat.
Als ik een papieren overschrijving doe heb ik een sterkere rechtspositie dan wanneer ik een electronische doe.
Die papieren overschrijving is bovendien "gratis"/ kost niets extra, en houdt nog een paar mensen aan een baan.
Maar aan de andere kant is internet bankieren ook weer betrouwbaarder dan het papieren overschrijfformulier doordat er two-factor authentication gebruikt wordt (something you have, something you know). Een handtekening op een papieren formulier is makkelijker te vervalsen, de vervalser heeft niet je bankpas nodig.
Ik denk dat daardoor de voorwaarden bij het papieren formulier wat soepeler zijn. Het is wat moeilijker te bewijzen wie het formulier werkelijk heeft ingevuld.

Het is hetzelfde als iemand onterecht met je pincode en pinpas geld opneemt. Tenzij je je pas als gestolen hebt opgegeven is dit ook voor je eigen verantwoording.
Laat je niet teveel misleiden door de afschuiving van aanspraakelijkheid door de banken naar jou als klant. In de praktijk komt het erop neer dat de bank moet bewijzen dat de schuld bij jou ligt. Dit komt omdat de banken de verantwoordlijkheid hebben om een veilig systeem te bieden waar jij als klant van gebruik maakt. Als je je beveiligingscodes hebt laten slingeren...tja dat is dan jou probleem. Maar als er gefraudeerd wordt doordat er gekraakt is zonder dat ze toegang hadden tot jou middelen: reken maar dat de bank dan het risico draagt.
Dat de postbank in de AV opneemt dat zij niet aansprakelijk zijn voor de gelde schade is leuk en aardig, maar daarmee nog niet zonder meer rechtsgeldig.

In de wet is het zo geregelend dat de producent/leverancier van een product voor dit product aansprakelijk is. Wanneer de consument schade onder vind te gevolg van een gebrekkig product dan dient dit vergoed te worden.

Het is alleen nog maar de vraag of software gezien kan worden als een product. Nog de EG-richtlijn of het burgelijk wetboek bieden onvoldende hou vast om zomaar te kunnen stellen dat het hier gaan om een product. En is het geen product is dan kun je niet product aansprakelijk zijn.

Hiermee is overgens niet gezecht dat het geen product is. Zou het tot een rechtzaak komen dan zou je de rechter er van moeten overtuigen dat het hier wel dergelijk gaat om een (gebrekkig) product gaat.

@kodak:
Als jij schade vergoeding eist van de bank dan ben jij verplicht om met bewijzen te komen, niet de bank. Je moet dan bewijzen dat zij schuld hebben of dat het gaat om een gebrekkig product. Wie iest die bewijst!
Precies, er wordt altijd wel zo moeilijk gedaan over telebankieren, maar bankieren in het algemeen is gewoon niet veilig.

Er is altijd wel een manier te vinden om geld van de bankrekening van mensen af te troggelen. Ik denk ook dat telebankieren zo in de aandacht staat dat dit inderdaad een van de veiligste manieren is.
Ik moet zeggen dat ABN-AMRO het goed voor elkaar heeft met hun internetbankieren.

Bij iedere stap die je doet moet je een beveiligingscode invoeren die iedere keer anders is.
En het werkt snel, geld wordt direct overgeboekt (en niet pas na een dag zoals we in het bericht kunnen lezen)

werkt overigens ook in Mozilla Firebird heb ik net getest :D
Inderdaad. Tenzij je weet hoe dat ding werkt, een paar duizend transacties kunt sniffen en ook nog eens 128 bits SSL-sleutels kunt kraken kun je als wannabe-hacker niks ermee :D

Echt supergoed dus :)
en dan vergeet je nog dat je de sessies ook ff over moet nemen :)
De banken geven aan dat een systeem nooit voor honderd procent veilig zal zijn.
Ja zeg.. Mooie disclaimer, die dan wel waar is, maar die ik nu voor het eerst zie. Tot nu toe riepen de bankmedewerkers dat het 100% veilig is, althans als ik er naar vroeg. Chapeau!
Schade ondervonden door problemen met het programma of de beveiliging zijn voor eigen risico. Niet alleen de software van de bank speelt hierin een rol, ook andere programma's zoals de gebruikte webbrowser zijn soms belangrijk.
Uhm.. wat willen ze nou? Zolang er geen alternatief geboden wordt in de vorm van de oude inbeloptie word je gedwongen hierin mee te gaan en dus ook om het door IE vergrote veiligheidsrisico te dragen, en da's IMO niet helemaal eerlijk. En ook al zouden ze nu beweren dat inbellen net zo risicovol is, dan geloof ik daar geen snars van en waarom lijkt me duidelijk.
In oktober vorig jaar werd in het programma Netwerk een probleem aangetoond met Internet Explorer
NFI, maar dat is eigenlijk geen nieuws en zal nog weleens vaker voorkomen. De meest gebruikte applicaties zijn nou eenmaal het hackgevoeligst. Dus.. nůg, of jķist een reden voor de banken om zich beter in te zetten voor 100% html-compliant pagina's, zodat -in de gevallen van een W3C- of encryptie-gerelateerde fout in IE- a) de gebruiker hier niet mee wordt opgezadeld als deze met een andere browser werkt die wellicht ongevoelig is voor die hack, b) uiteraard het aantal voor-bankzaken-IE-gebruikers vermindert en dus het risico voor de banken verlaagd wordt, en c) de banken misschien zelfs met succes bij MS aan kunnen kloppen als het gaat om de verantwoordelijkheid en schadevergoeding, alhoewel dat laatste wel heel utopisch is en bovendien een probleem geeft daar dit bij open source-produkten praktisch onmogelijk is.

Blijkbaar is de theorie nu dat men zich liever volledig voor 1 browser van een commerciŽle software-fabrikant inzet waarbij gelijktijdig deze fabrikant niets te verwijten valt als het fout gaat (toch raar hŤ), dan dat men zich aan de webstandaarden houdt, de consument daarmee tevredener is doordat de risico's verlaagd worden en bovendien de pagina's beter werken. Het zal wel iets te maken hebben met de aloude strijd tussen open source vs. MS, ik weet het anders ook niet te verklaren..
De fout in de implementatie van het https protocol die in Netwerk getoond werd was op dat moment allang gerepareerd, zie MS security bulletin MS02-050. Waar ik me destijds aan geŽrgerd heb is dat op de website van de door de NCRV geinterviewde beveiligingsexpert niet verwezen werd naar die patch. Bovendien zie ik nu op diezelfde site dat dat bedrijf commerciŽle banden met de NCRV heeft.

Beveiligingsproblemen worden naar mijn mening vaak opgeblazen, vooral als het met Microsoft te maken heeft. Hierdoor worden de ontwikkelingen in elektronisch betalen onnodig vertraagd. Het is goed om zorgvuldig te zijn in die zaken, maar bangmakerij als destijds in Netwerk kunnen we imho missen als kiespijn.
ik vindt het alleen jammer dat Rabo nog geen "telebankieren extra", via een bestaande internetverbinding aanbied. Daarvoor moet je echt een telefoon/isdn modem hebben om een nummer te bellen. (nog betere authenticatie) ("Telebankieren extra", is alleen voor bedrijven...maar toch...)

(werkt niet via de kabel of ADSL)
Toevallig hebben ze net een nieuwe versie gemaakt die gewoon werkt via je TCP/IP verbinding, ik heb dat onlangs nog werkend geinstalleerd. Rabobank Telebankieren Extra voor een zakelijke rekening ging het hierom (overigens gekoppeld aan een prive rekening)
Die werkt weliswaar via TCP/IP, maar je moet wel nog via een speciaal telefoonnummer direct inbellen. Het is (nog?) niet te gebruiken over een normale internetverbinding.
Anderzijds is er ook een groep klanten die absoluut niet via het internet de bankzaken wil regelen (onder meer door vaak onterecht negatieve berichten zoals die nu in de Consumentengids staan). Dat zijn klanten die een aparte computer gebruiken voor bankzaken en die alleen via directe telefoonverbinding transacties willen versturen/ophalen.
op mijn macje werkt rabobank uitstekend, ook met mozilla.
'Wie heeft het gedaan' is altijd een moeilijke discussie in zulke materie.

De banken schuiven de verantwoordlijkheid af op de consumenten en vise versa. Fraude heeft altijd bestaan, het gaat immers om geld. Indien er niet kan bewezen worden dat het slachtoffer ter kwader trouw heeft gehandeld, vind ik dat de banken de schade moeten vergoeden. Visa o.a. doet dat ook.

Er is met betrekking tot de veiligheid nog veel werk aan de winkel. Toch vind ik dat er goede alternatieven zijn, die te weinig zijn uitgebouwd zoals PC/CZAM. Maar 100% beveiligen kan je nooit. Indien je daar niet mee kan leven moet je je geld maar in een sok steken. ;)
Bij mij is het juist omgekeerd. Sinds ik internet bankieren gebruik (abn-amro) is er niks fout gegaan. Dat was wel anders toen ik weleens iets via de balie wilde regelen. Op een of andere manier had ik altijd de pech iemand te krijgen die net ingewerkt moest worden of zo (je kon het bijna geen incidenten meer noemen). Overschrijvingen gingen weleens fout en zo. Doordat je pas na een week of zo bankafschriften kreeg, kwam je er pas heel laat achter dat het een en ander mis is gegaan. Een vakantie van mij viel bijna in duigen doordat de ticket niet betaald bleek te zijn.

De feedback is ook veel sneller nu. Als iemand je rekening heeft zitten plunderen, zie je dat meteen en niet pas na twee weken op je bankafschrift.

Daarnaast is het probleem van mensen die overschrijvingsformulieren uit de brievenbus halen en wijzigen ook niet meer aan de orde.

Nee, mijn vertrouwen in mijn banktransacties is juidt flink gestegen sinds internet bankieren.
Als jullie eens een test erbij trekken van begin dit jaar zal je zien dat de rabobank bij de top4 van de wereld hoort van beste online banking diensten. Het is de onbetwiste nummer 1 van nederland.
De onbetwiste nummer 1 die alleen met IE werkt |:(
De Rabo ondersteund alleen MSIE, maar dat betekent niet dat niet niet met andere browsers kan werken. Zo werkt het Rabo internetbankieren daar onder meer met:
- Mozilla (incl. Netscape 7+, Galeon, Epiphany, Firebird, Camino...)
- Safari (en ook Konqueror)
- iCab
- Opera
Alleen als het toevallig een niet werkt of met een paar kleine schoonheidsfoutjes, dan krijg je geen ondersteuning van de Rabo.

Kom je met zo'n alternatieve browser op de Rabo site, dan krijg je een waarschuwing dat de site mogelijk niet goed werkt met die browser, maar je kunt wel doorgaan. Helaas interpreteren veel mensen dat als "je kunt alleen met MSIE op de site komen" en da's niet echt bevorderlijk voor het imago van de site.
Voor de meeste andere bancaire websites geld overigens hetzelfde, alleen moet je daar in de online help/faq gaan zoeken naar de browserondersteuning.
Wat mij opviel is dat de banken in eerste instantie altijd bij hoog en bij laag beweerd hebben dat je pincode niet op je bankpas is vastgelegd. Dit in antwoord op mensen die hier ernstig bezorgd over waren. Maar toen jaren later internet bankieren werd ingevoerd bleek dit wel zo te zijn, maar hoor je hier niemand meer over...
Hoe kom je er bij dat de pincode op de pas is vastgelegd? Want dat is deze inderdaad niet, de banken liegen daar echt niet over..
Als ik moet inloggen bij de abn-amro, moet ik mijn pincode invoeren op de calculator. De calculator heeft geen connectie met de bank, maar kan wel de authenticatie verrichten. De pincode moet dus op het pasje zitten.

Overigens zie ik het probleem hiervan niet. Over het pasje heb jij alle controle, over een centrale database met pincodes niet. Stel dat een bankmedewerker zo een lijst heeft en van gevonden pasjes de pincode kan opzoeken...

Zie het als een paspoort als authenticatie middel. In wezen hetzelfde met het verschil dat je geen pincode op een paspoort hebt maar een foto om misbruik tegen tegaan. Om identiteit vast te stellen heb je geen extra centrale organisatie nodig, het document alleen is voldoende. Welke authorisaties je hebt nadat de indentiteit is vast gesteld is wel weer afhankelijk van de systemen van de organisatie (mag iemand het land in, mag iemand geld opnemen), dit kun je niet van het document/pasje aflezen.

[reactie op wildhagen]
Voordat de calculator geactiveerd is moet je eerst erop aanloggen met je pasje en je pincode. Dit kan echt alleen als de pincode (en misschien het authenticatie mechanisme) of op het pasje of in de calculator verwerkt zit. Ik gok in dit geval op het pasje.
Het kan zijn dat andere banken het anders oplossen.

[reactie op beesting]
Natuurlijk. Bij de chipknip wordt ook geen verbinding met de bank gelegd. Ik had de link nog niet gelegd.
Is er trouwens een reden waarom de chipknip niet gewoon de magneetstrip kan vervangen (behalve compatebiliteit met de apparatuur?)
In dit geval wordt er waarschijnlijk inderdaad een hash van je "pincode" op het pasje opgeslagen en wordt deze vergeleken met de hash van de code die intikt. (Dit is in ieder geval veiliger dan de code zelf opslaan, want vanuit de opgeslagen hash de echte code berekenen kost toch flink wat moeite of is praktisch nagenoeg niet haalbaar.)

In dit geval gaat het trouwens niet direct om je pincode (vandaar de quotes hierboven), maar op je chipknip-code. (Bij veel banken is deze overigens inderdaad wel gelijk aan je pincode!) Als je namelijk drie keer een foute code intikt wordt je chipknip wel, maar het pin-gedeelte van je pas niet geblokkeerd. Het is eigenlijk ook wel logisch dat er gebruik gemaakt wordt van de chipknip- ipv pincode, want voor het pingedeelte heb je een telefoonlijn nodig om de pincode te controleren (die ws dus inderdaad niet op de pas op opgeslagen wordt), maar voor je chipknip niet; daarvoor is het losse kastje voldoende.
Als ik moet inloggen bij de abn-amro, moet ik mijn pincode invoeren op de calculator. De calculator heeft geen connectie met de bank, maar kan wel de authenticatie verrichten. De pincode moet dus op het pasje zitten.
Natuurlijk niet. Wel eens van zoiets als hashing gehoord? Dat ding berekent gewoon een hash, die geef je op de site op (iig bij de Rabobank 10 cijfers, ABN-systeem ken ik niet) en die hash word vergeleken met de hash aan de kant van de bank (andere kant van de lijn dus).

Zijn de hashes identiek: de ingevoerde pincode op de calculator is juist. Zijn ze niet identiek: pincode onjuist, geen toegang, probeer het nogmaals.
Ik heb inderdaad ook zo'n ervaring meegemaakt. De bank melde jaren geleden in hun brief die ik bij m'n pas kreeg dat de pincode nergens anders dan op mijn pas was opgeslagen.

Tot mijn grote verbazing kreeg iedereen jaren later een nieuwe pas, met precies dezelfde pincode!!! Aardig knap als de pincode alleen op m'n oude pas was opgeslagen....

Ik heb toen een mail naar de bank gestuurd en die kwamen met een mooi verhaal over one-way encryptie en zo... allemaal leuk en aardig, maar dan nog klopt het niet...
De pincode zal niet op je pasje staan zoals jij deze kent. Maar deze zal ook met een x aantal bits encrypte gecodeerd zijn.
combineer dit met de combo van pasnummer (die ik iig nodig heb bij de ABN-AMRO) en de verbinding die ook encrypted zijn.
knappe jongen die daar door heen komt. Ben maar niet bang dat het erg eenvoudig te kraken is (het kraken van een pincode is al verdomd lastig (als je dat al ooit gaat lukken) dus laat staan om door de rest heen te komen.

op de manier zoals het nu in elkaar zit vind ik het zeer betrouwbaar en zal ook niet anders meer willen dan op deze manier

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True