Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 44 reacties

Thuiswinkel.org wil dat meer van zijn aangesloten webwinkels het 3D Secure-protocol bij creditcardbetalingen gaan gebruiken. Winkeliers die het systeem gebruiken, hoeven bij creditcardfraude niet langer voor de schade op te draaien.

Bij 3D Secure, dat door Visa en Mastercard werd ontwikkeld, moeten consumenten tijdens een creditcardbetaling een zelfgekozen wachtwoord invullen voordat de transactie kan worden afgerond. Volgens Wijnand Jongen, directeur van brancheorganisatie Thuiswinkel.org, hebben de grote Nederlandse banken er weliswaar lang over gedaan om het 3D Secure-protocol te implementeren, maar nu het is ingevoerd moeten meer webwinkels het systeem gaan benutten, zo laat hij aan Tweakers.net weten. "Als webwinkels dit systeem gebruiken, ligt het risico van creditcardfraude geheel bij de banken en creditcardmaatschappijen. Winkeliers hoeven dus niet langer op te draaien voor de schade bij eventuele fraude. Een benadeelde consument krijgt altijd zijn geld terug bij frauduleuze handelingen."

Inmiddels zou circa de helft van de aangesloten Thuiswinkel.org-leden 3D Secure in hun webwinkel hebben geactiveerd, maar Jongen hoopt dat dit aantal snel toeneemt. Sommige winkeliers zouden 3D Secure als drempelverhogend beschouwen, maar volgens de Thuiswinkel.org-directeur zijn consumenten die via iDeal betalen een extra verificatiestap vrij snel als normaal gaan ervaren. De brancheorganisatie zou in theorie in zijn spelregels kunnen opnemen dat leden het beveiligingssysteem moeten gebruiken, maar volgens Jongen zou de ledenraad daar zelf een besluit over moeten nemen.

In Nederland zou 47 procent van alle online-betalingen via iDeal worden uitgevoerd, terwijl circa 9 procent via creditcard verloopt. De fraude met creditcardbetalingen zou volgens de brancheorganisatie jaarlijks in de tientallen miljoenen euro's lopen. Thuiswinkel.org pleit daarom naar eigen zeggen in Den Haag voor een centraal aangiftepunt.

Moderatie-faq Wijzig weergave

Reacties (44)

Tja, ik als vervend CC gebruiker wil het niet gebruiken, aangezien de voorwaarden voor mij het CC gebruik een stuk onveiliger maken. 3D ziet het wachtwoordverificatie nl als een authorisatie door de gebruiker en dus wordt bij eventuele fraude de zaak ineens omgekeerd en moet jij maar bewijzen dat er gefraudeerd is, in plaats van hoe de situatie nu is.


Niet dat het veel uitmaakt, zolang je bij stap 2 geen wachtwoord invult (omdat je dat weigerd) en op stap terug klikt, krijg je een popup dat de betaling wordt gecanceled maar er wordt toch een betaling O.K naar de shop verstuurd :')

Een creditcard authorisatie is hoe hij nu nog verloopt technisch een uiterst onveilige methode, maar door de voorwaarde voor de gebruiker is het wel de meest veilige voor de portemonnee van de gebruiker.

[Reactie gewijzigd door soepkip op 2 juni 2010 14:50]

Soepkip heeft het helaas bij het rechte eind.

Ik heb jaren voor Mastercard (en Visa) gewerkt. De Mastercard Secure code is een aardig opgezet maar ontneemt je van je normale rechten bij credticard transacties.

Je kan het vergelijken met een pincode: als je pas wordt gejat en er wordt driftig mee gepind dan zegt de bank (terecht overigens) : Pech voor je, wordt niet vergoed.

Als nu je PC gehacked wordt en je code staat ergens vermeld en je gegevens worden vervolgens misbruikt dan heb je dus ook meteen geen rechten meer. Ook als je code nergens vermeld staat maar door een slim persoon toch achterhaald wordt ben je de pineut.

De opzet is aardig, maar als klant geef je met die code tevens je standaard Mastercard dispuut-rechten uit handen. Probeer maar eens je gelijk te krijgen bij Mastercard als je code door een Man-in-the-middle attack wordt ontfutseld en vervolgens je kaart wordt leeggeroofd.

10 jaar Mastercard werkervaring en ik zeg: niet doen!
Je hebt nu ook al soms, dat een betalingsbedrijf vraagt om je mastercard in je randomreader te gooien en dan de pincode van de kaart in te vullen, net zoals met je betaal pas.
Dan gaat dar het einde betekenen van de credit card. iDeal is ook onveilig voor de gebruiker (enkel veilig voor bank en webshop) dus gaan we terug naar cash geld, mischien wel zoals dinar en durham echt zilver en goud, dat is nl wel waardevast in tegenstelling tot Euro, Dollar en alle andere. De huidige staten draaien op (beperkte) inflatie.
Heb juist meegemaakt dat ik na een foutief 3DS wachtwoord de hele bestelling opnieuw moest doen, omdat de webwinkel (FRS in dit geval) bijna op tilt soeg na de overduidelijk NEE van de 3ds authenticatie.
Dat was wel een jaar geleden; hopelijk zijn dat soort problemen wel verholpen inmiddels.

Het zou kunnen dat de webwinkel zelf mag beslissen wat ze doen met een nee van 3DS. Al zal de webwinkel wel zelf het risico lopen als ze bij een nee toch de overige CC gegevens accepteren neem ik aan.

Tenslotte kun je in sommige fysieke winkels ook nog met je CC en alleen je handtekening betalen. Dat dit systeem bstaat sluit het "oude" systeem blijkbaar nog niet uit.

[Reactie gewijzigd door florus op 2 juni 2010 15:55]

Best een serieuze bug, dan zou er dus al verstuurd worden voordat je het wachtwoord hebt ingevult. Dan heeft het wachtwoord dus ook geen zin.

Ik geloof er eigenlijk weinig van, zo een bug zou toch wel opgevallen zijn? :P
Als het goed is krijgt de winkel een antwoord terug van de 3dSecure server of de autorisatie op je kaart al dan niet geslaagd is.

Wanneer je kaartnummer + je vervaldatum + je cvv2/cvc2 codes goed zijn ingevuld maar je hebt niet voldaan aan de 3dSecure authenticatie zal de issuer de autorisatie afwijzen, en zal de transactie niet door mogen gaan.

Als dit wel het geval is, ligt het risico weer bij de winkelier omdat hij goederen heeft verstrekt zonder dat daar autorisatie voor is aangevraagd dus liggen de chargeback rechten compleet bij de Issuer.
Het wachtwoord mag ook alleen maar bestaan uit maximaal 12 cijfers en of letters. Dus geen leestekens of andere speciale tekens.
Lekker veilig weer.
Dus als ik het goed begrijp moeten cybercriminelen behalve het supergeheime 16-cijferige nummer, de 3/4-cijferige pincode, de vervaldatum en de naam voortaan ook een wachtwoord oogsten?
Pfoe, nog een veldje extra wat ze moeten phishen, ik denk dat dat een onoverkomelijk probleem gaat zijn.

Lees: Zelfs al wordt het wachtwoord ingevoerd op een "omgeleide site" (ideal-style), zolang het geen challenge-response authenticatie is, gaat dit niet werken.
Ja de kaarthouder zal wel zijn ogen moeten gebruiken,

op het 3dSecure scherm staat een Persoonlijke boodschap, deze boodschap geef je zelf op bij het aanmelden bij 3dSecure.. bijvoorbeeld: " Hey prutser, wat ga je nou weer kopen?".

Dat zinnetje moet je dus elke keer tegenkomen als er een 3dsecure autorisatie wordt gedaan, als deze persoonlijke boodschap er niet staat.. of anders is, kan je er vanuit gaan het geen zuivere koffie is, en je WW niet invoeren.

Voor keyloggers helpt dit natuurlijk niet..

Er blijft natuurlijk ook altijd een spanningsveld tussen gemak en veiligheid bestaan.
Dat wachtwoord staat niet op de kaart. ;)

Dit is dus net zo veilig als de pincode op je bankpas en dat was voorheen zonder dit extra gegeven dus niet zo. Elke ober die je je Visa/Mastercard meegaf had met zijn oogjes (en eventueel een kladblok) binnen 10 seconden alle gegevens om onder jouw naam te cashen (zonder dat jij dat doorhad). Met deze wachtwoord stap gaat dat dus niet meer.

En ja, dat is dus ook net zo onveilig als de pincode (is ook geen challenge/response systeem tenslotte). Gezien de overige checks in het credit card systeem en de marge van ingecalculeerde fraude vermoed ik dat de CC maatschappijen dit wel ok vinden (voorlopig dan).
Het "oude" systeem (wordt nog steeds gebruikt) was wel erg makkelijk te "hacken"!
mogelijk volgend nieuws?: Phishers gaan zwaarder inzetten op keyloggers, Card gebruikers krijgen steeds meer moeite fraude te bewijzen. :Y)
Nu mag ik dom en blind zijn, maar hoe kom ik aan c.q. maak ik een wachtwoord aan?
Ik heb een CC van de ING, en ben nog nooit tegen dit systeem aangelopen.
Dat gebeurt vanzelf als een je bij een webwinkel betaalt met CC en deze maakt van dit systeem gebruik. Je wordt dan doorgestuurd naar een subsite van ING/Mastercard en daar moet je dan een aantal stappen doorlopen om het wachtwoord aan te maken (dat is eenmalig). Bij elke volgende transactie kun je direct na het redirecten naar die site met je zelfgekozen wachtwoord de CC betaling authoriseren.

De meeste (grote) in NL gevestigde webwinkels werken met dit systeem. Als je voornamlijk in het buitenland betaalt met CC (voor sommige mensen de enige reden dat ze een CC hebben) dan zul je hier in de regel voorlopig niet mee te maken krijgen.
Thanks!
Ik ben inderdaad een van die mensen die zijn CC alleen gebruikt voor aankopen in het buitenland (via het web), of tijdens mijn vakanties in Zuid Afrika.
Voor de rest vindt ik Ideal ideaal.
Meteen invoeren. De oplossing die Rabobank aan creditcard betalingen heeft gekoppeld is helemaal onzinning, moet je met die random reader je creditcard betaling NOG een keer gaan autoriseren. Moet je dus altijd dat rekenmachientje bij je hebben, zit je met een semi-defecte magneetstrip kan je helemaal niets meer.

Of in het ergste geval, krijg ik een en/en situatie, wachtwoord en random reader.

Maar dat laatste stuk, 9% zou creditcardbetalingen zijn, stel dat daarvan 10% 'fraude' is. Dan praat je over 0,9% waar het gaat om tientallen miljoen, hoeveel wordt er jaarlijks dan niet online betaald?
(goed, bij fraude gaat het veelal meteen om echt grote bedragen, maar dit zou toch redelijk worden gecompenseerd door de grote betalingen via de 'veiligere' wegen zoals iDeal).

Andere kant, zoveel koop ik online niet meer, buitenland is (digitaal) veelal goedkoper, paypal en creditcard zijn enorm groot ondersteund, met 'extra' veiligheid binnen de nederlandse webshops ga ik niet opeens meer kopen.
Nog een wachtwoord? Waar is die cvc code achterop de kaart dan voor? Amerikaanse banksystemen staan toch al niet bekend om hun goede beveiliging tegen misbruik, dan lijkt me die Rabobank oplossing een stuk veiliger.
Iedereen die jouw card 10 sec in zijn handen heeft kan zich op internet voordoen voor jou, door je cardnr. en cvc code op te geven. Het wachtwoord maakt het vele malen veiliger voor gebruik op internet, omdat toch niet te controleren is of jij wel daadwerkelijk beschikt over de creditcard waarvan je het nummer en code opgeeft.
Geen idee hoe jouw raboreader eruit ziet, maar de mijne leest de chip uit, en niet de magneet strip. Zie ook http://en.wikipedia.org/wiki/EMV
edit: typo

[Reactie gewijzigd door ltcom op 2 juni 2010 14:57]

Ik hoop dan ook dat de bullshit verdwijnt dat je moet bijbetalen voor te betalen met creditcard. Schandalig gewoon.
Die bijbetaling zal niet verdwijnen. Credit card maatschappijen vragen iets van 3% opslag van de winkelier bij een CC transactie en die kosten worden door de meeste winkeliers gewoon doorberekend aan de klant.
In de VS doet men dat meestal niet maar dan kun je ervan uitgaan dat die 3% direct al in de prijs verwerkt is.
Dat komt ook omdat betalen met CC in de USA de norm is en hier niet. Nederlandse webwinkels hebben veel meer omzet uit iDeal betalingen dan uit CC betalingen. En iDeal is voor de webwinkel veiliger dan CC omdat de betaling niet achteraf terug te draaien is. Nog afgezien van het kostenaspect.
De enige reden om een creditcard te gebruiken, buiten betaalgemak, is dat je er in veel gevallen niet omheen kunt. Je betaald voor elke betaling 3x extra:

-je betaald (in veel gevallen) voor het hebben van de creditcard
-je betaald extra voor het gebruik van de creditcard
-je betaald enorme % rente op het uitstaande bedrag op je creditcard

Dus als het even kan gebruik ik liever iDeal.
Als je met een creditcard betaald ben je 6 maanden verzekerd tegen verlies diefstal of beschadiging van bijna alle produkten.

Als een product niet wordt geleverd krijg je van de CC maatschappij je geld terug.
Probeer dat maar eens met Ideal.


Verder kan je een positief saldo hebben op een CC je betaalt dan geen rente, en als je gewoon 100% aflost per maand betaal je ook geen rente.
Hoe zit dat eigenlijk met die prepaid-"credit" cards waar je wel eens reclame voor ziet? Heb je daarbij ook garantie?
Wat is het voordeel voor de consument als winkeliers dit invoeren? Als ik het goed begrijp loopt bij fraude nu alleen de winkelier risico, of dat opweegt tegen een eventueel lagere omzet moet hij maar zelf uitmaken vind ik.
Het voordeel voor de consument is, dat niet alleen de kaarthouder wordt gecontroleerd maar ook de winkelier en de creditcardorganisatie.

Je weet dan dus dat je je al je gegevens naar een vertrouwde plek stuurt.
Het nadeel is dat het WEER een wachtwoord is dat je moet onthouden, en dus een extra stap in het anders zo gemakkelijke cc betalingsverkeer.
Lijkt mij een uitermate zinnige actie, controles dmv CVV2/CVC2 waardes zijn niet meer toereikend. 3DSecure zorgt voor een extra beveiligingslaag die controleert of niet alleen de kaarthouder wel is wie hij zegt.. maar ook of de winkelier EN de Creditcard verstrekker wel de juiste legitieme partijen zijn. (vandaar de "3D" omdat er 3 partijen bij zijn betrokken)

Het is voor iedereen dus een stuk veiliger om 3dSecure te gebruiken.

Natuurlijk heb je een extra stap, namelijk het invullen van je 3dSecure wachtwoord maar in vergelijking met Ideal, waarbij je je authenticater, Pinpas en 3 codes moet invullen, een stuk minder tijdrovend.
Bij welke bank moet je 3 codes invoeren?

Bij ABN amro moet je met de oude identifier 1 code invoerne op je identifier, en eentje op de pc.
Met de nieuwe identifier hoef je alleen je pincode in te voeren en te controleren of de informatie klopt, en dan bevestigen met ok. Erg handig!
Bij inloggen pincode op identifier, door abnamro opgegeven code op identifier, respons invoeren op webpagina.

En bij overschrijven van een bedrag nog een keer.

Eigenlijk 6 keer dus, geen wonder dat ik het ding zo onhandig vind.
Bijvoorbeeld bij Fortis

1. Pincode invoeren
2. Challenge invoeren
3. Bedrag invoeren
4 Response invoeren op website

4 dingen invoeren zelfs.. ik onderdreef :)
als thirdparty payment providers dit invoeren scheelt het weer verificatie van klanten voor de ondernemer.

ik heb er al 1x mee te maken gehad dat er betaald is met een gefrauderde cc,gelukkig op tijd achtergekomen dus geen spul uitgeleverd.als je dit niet checkt kan je nog een leuke cashback actie krijgen van je payment provider terwijl de spullen al uitgeleverd zijn.
Ik gebruik al 3D secure, maar zelfs 3D secure goedgekeurde transacties zijn niet fraudeleus. Had gisteren iemand die in de UK zat en met een kaart uit Denemarken bestelde, komt voor maar is vreemd, laten veriferen door de creditcard controle van Equens NL en deze transactie kwam niet van de rechtmatige eigenaar af.

Wellicht als ik de goederen had verstuurd geen geld schuldig was geweest aan mastercard echter had ik alsnog gezeik gehad wanneer ik de transactie niet had geannulleerd, aangezien Mastercard/Visa alsnog jou verrandwoordelijk stellen voor het accepteren en controlleren van orders en dreigen om jou aansluiting stop te zetten.

Daarnaast is 3D secure alleen geldig binnen de EU, buiten de EU gebruiken ze dit niet.
Dat wordt je helaas ook niet verteld van te voren terwijl de transactie wel alles goedgekeurd aangeeft. 2 charge backs van totaal 700 euro en een boete/administratie bedrag van 24 euro per stuk....

[Reactie gewijzigd door twister00004 op 2 juni 2010 15:14]

bij mij is het 70-80% ideaal en rest via de bank. creditcards hebben we er uit gegooid omdat het zoveel fraude gevallen gaf.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True