MasterCard SecureCode: veilig voor wie?

Door Rukapul op zondag 10 januari 2010 06:33 - Reacties (7)
Categorie: -, Views: 8.301

Afgelopen herstvakantie ben ik gecapituleerd voor MasterCard SecureCode na het jaren te hebben kunnen afhouden. MasterCard SecureCode (en Visa's Verified by Visa) is een aanvulling voor online creditcardbetalingen waarbij een extra wachtwoord moet worden gegeven om transacties te authoriseren. Dit maakt creditcardbetalingen iets veiliger, maar het verschuift ook risico's van de uitgevende bank en/of retailer naar de consument / kaarthouder. Dit rechtvaardigt de vraag: veilig voor wie?
Algemene voorwaarden gebruik MasterCardģ SecureCode™

5. Bij de aanmelding voor de dienst dient de kaarthouder een wachtwoord te kiezen, die door hem/haar als persoonlijke beveiligingscode bij het gebruik van de dienst moet worden gebruikt. Het wachtwoord dient door de kaarthouder zodanig te worden gekozen dat het wachtwoord niet makkelijk te raden is voor derden. Het wachtwoord is niet overdraagbaar. De kaarthouder is verplicht zijn/haar wachtwoord en de door hem/haar bij de aanmelding voor de dienst op te geven welkomstboodschap strikt geheim te houden ten opzichte van een ieder, daaronder mede begrepen familieleden, huisgenoten, mederekeninghouders en gemachtigden.

6. Indien de kaarthouder enige aantekening maakt van zijn/haar wachtwoord dient hij/zij dat in een zodanige vorm te doen, dat het wachtwoord op generlei wijze voor derden herkenbaar is. De kaarthouder zal de ING onverwijld op de hoogte stellen door contact op te nemen met de klantenservice indien sprake is van enig ongeautoriseerd gebruik van het wachtwoord of enige andere schending van de beveiliging. De klantenservice is bereikbaar op telefoonnummer 0900 0933 (10 cent per minuut). De kaarthouder is volledig aansprakelijk voor schade die het gevolg is van het door hem/haar niet naleven van de in dit artikel vermelde verplichtingen.

7. De kaarthouder is verplicht om bij transacties in verband met aankopen bij aangesloten winkels zijn wachtwoord te gebruiken. De kaarthouder is volledig aansprakelijk voor de schade die het gevolg is van het niet nakomen van deze verplichting.

12. De ING is niet aansprakelijk voor enig verlies of enige schade die voortvloeit uit transacties die onder gebruikmaking van deze dienst met aangesloten winkels plaatsvinden ten laste van de kaart van de kaarthouder, tenzij het verlies of de schade is te wijten aan opzet of schuld van de ING.
Uit bovenstaande voorwaarden spreekt dat de kaarthouder aansprakelijk is voor wat er met zijn wachtwoord gebeurt. In de huidige wereld van trojans en wachtwoordloggers is dit geen aantrekkelijk vooruitzicht. De kans dat de creditcardinformatie en securecode een keer gestolen worden zijn niet onwaarschijnlijk. In de oude situatie zonder SecureCode is de kaarthouder niet aansprakelijk omdat hij de fysieke kaart nog in bezit heeft, terwijl hij dat op basis van bovenstaande voorwaarden wellicht wel is.

Er kan natuurlijk gedacht worden dat het allemaal zo'n vaart niet zal lopen en dat uitgevende banken en creditcaardmaatschappijen zich coulant zullen opstellen. Aanhangers van die gedachte moeten echter wel realiseren dat de slachtoffers van skimming in het begin door de banken ook volledig aansprakelijk werden gehouden voor transacties met de afgekeken PIN-code en dat dit pas veranderde na flinke tijd en druk.

Extra zuur aan SecureCode is dat de oplossing zelf bijzonder weinig veiligheid biedt. Het werkt alleen met een eenvoudig wachtwoord in plaats van (optioneel) two-factor authenticatie danwel authorisatie. Bevestiging per SMS of challenge-response met bankkaart zou de consument in elk geval een fatsoenlijk niveau van beveiliging bieden. Voor veel uitgevende banken zou dit niet meer zijn dan een lichte integratie met het reguliere online bankieren.

Naast de single-factor authenticatie springt ook de "geheime vraag" in het oog. Tijdens de registratie wordt hierom gevraagd, maar er wordt niet aangegeven voor welk doeleinde deze gebruikt zal worden. Empirisch wetenschappelijk onderzoek heeft aangetoond dat de meeste antwoorden van "geheime vragen" met enig zoek- en gokwerk zijn te beantwoorden. Gezien deze zwakke veiligheid in combinatie met bovenstaande voorwaarden is het de vraag of het verstandig is het echte antwoord te geven.

Security is vaak niet het laten verdwijnen van risico's maar ze verschuiven ;)

http://kosteronline.net/pics/securecode.png
Het registratiescherm van MasterCard SecureCode bij ING.

Volgende: Duurzaam internetbankieren en de mens in informatiebeveiliging 09-'10 Duurzaam internetbankieren en de mens in informatiebeveiliging
Volgende: e-veiligheid bij de e-overheid 03-'08 e-veiligheid bij de e-overheid

Reacties


Door Tweakers user H!GHGuY, zondag 10 januari 2010 09:28

De clausule zegt enkel dat jij je wachtwoord niet moedwillig mag delen met 3den.
Het zegt helemaal niet dat het resultaat van onderschepping en andere illegale praktijken voor jouw rekening zijn.

Vraagje begrijpend lezen dus.

Door Tweakers user H!GHGuY, zondag 10 januari 2010 09:29

Aanvulling: Je punt dat de beveiliging niet top is blijft echter geldig.

Door Tweakers user Blokker_1999, zondag 10 januari 2010 09:34

Ik weet niet hoe het hier bij ons met de MC zit, maar bij Visa is het zo hier in BelgiŽ dat de meeste kaartverstrekkers bij online betaling voor een bevestiging vragen in combinatie met de digipass. keyloggers worden zo buiten spel gezet.

Wel is het zo dat bij een gewone visa kaart misbruik enkel verzekerd is als je de kaart hebt opgegeven als zijnde gestolen of als het gebeurd via een duplicatie van de kaart.

Door Tweakers user liberque, zondag 10 januari 2010 13:05

Enige probleem wat ik heb met MC SC is dat het wel heel erg eenvoudig wordt gemaakt om een identiteit te stelen. Alles gaat online, geen enkele bevestiging via snailmail en een code is zo aangemaakt. Enige wat je hier in Nederland nodig hebt is het creditcard nummer, de vervaldatum en de CVS en als verificatie het bankrekeningnummer wat wordt gebruikt voor afschrijvingen van de card.

Stel ik misplaats tijdelijk een portomonee met een creditcard erin van een collega dan is de kans erg groot dat het reguliere bankpasje er ook bij zit. Ik ga op internet en meld me aan voor SC. Gebruik de gegevens van de card en het bankpasje. Daarna leg ik de portomonee terug. Op dat moment merkt het slachtoffer niks en waant zich veilig.

Daarna ga ik aankopen doen die nauwelijks te traceren zijn (dus geen pakketjes naar me laten doorsturen maar virtuele aankopen). Het slachtoffer merkt tot op heden niets omdat hij zijn creditcard alleen maar voor de toltunnel gebruikt totdat hij de afrekening ontvangt. Hij gaat dan klagen bij de creditcard maatschappij en deze zullen hem dan zeggen dat al die transacties met securecode zijn geverifieerd. Laat hem dan maar bewijzen dat hij nooit een securecode heeft aangevraagd. Intussen kijk ik al ruim een maand free pr0n via een of andere proxy.

Nu zal je zeggen dat zonder SC ik alleen maar het card nummer, exp. date en cvs had moeten overschrijven en dat het dan ook wel gelukt was. Echter daar steekt het probleem; de SC zou moeten voorkomen dat ik met alleen die nummers een aankoop kan doen. Het zou het geheel veiliger moeten maken, maar de fraudeur kan die SC dus zelf aanmaken met de juiste gegevens. Een schijnveiligheid dus die ook nog eens kan betekenen dat het voor het slachtoffer moeilijker wordt om aan te tonen dat hij die transactie niet heeft gedaan... immers er staat.. verfied by securecode. Dus naast Skimming hebben we nu dus ook SCimming. Geweldig.

Door Tweakers user mindcrash, zondag 10 januari 2010 15:01

Daarom is het SecureCode gedeelte van ING ook zo afgefikt door security specialisten, ik meen me namelijk te herinneren dat ING de enige was die o.a. gebruik maakt van een "geheime vraag".

SecureCode is bij andere maatschappijen (zoals ICS) volgens mij vele malen beter geÔmplementeerd. En daarin schuilt het gevaar: elke MasterCard licentiehouder mag SecureCode op zijn eigen manier implementeren; net zoals iedere webshop op zijn eigen manier iDeal mag en kan implementeren (en we hebben allemaal gezien hoe dat met online eten bestellen bijvoorbeeld kan aflopen)

Door Tweakers user Ma.rkus.nl, zondag 10 januari 2010 22:31

Voor wie het met mijn creditcard wil proberen: mijn moeder's familienaam is iets in de richting van &$kkas-posa;l_š_==234m<>//A*©*@ :p

Door Tweakers user Jeoh, maandag 11 januari 2010 13:11

Leuk dat je maar 8 tot 12 karakters mag gebruiken. Ik neem aan dat ze dan wel iets tegen bruteforcen hebben...

Reageren is niet meer mogelijk