MasterCard SecureCode: veilig voor wie?

Door Rukapul op zondag 10 januari 2010 06:33 - Reacties (7)
Categorie: -, Views: 8.209

Afgelopen herstvakantie ben ik gecapituleerd voor MasterCard SecureCode na het jaren te hebben kunnen afhouden. MasterCard SecureCode (en Visa's Verified by Visa) is een aanvulling voor online creditcardbetalingen waarbij een extra wachtwoord moet worden gegeven om transacties te authoriseren. Dit maakt creditcardbetalingen iets veiliger, maar het verschuift ook risico's van de uitgevende bank en/of retailer naar de consument / kaarthouder. Dit rechtvaardigt de vraag: veilig voor wie?
Algemene voorwaarden gebruik MasterCardģ SecureCode™

5. Bij de aanmelding voor de dienst dient de kaarthouder een wachtwoord te kiezen, die door hem/haar als persoonlijke beveiligingscode bij het gebruik van de dienst moet worden gebruikt. Het wachtwoord dient door de kaarthouder zodanig te worden gekozen dat het wachtwoord niet makkelijk te raden is voor derden. Het wachtwoord is niet overdraagbaar. De kaarthouder is verplicht zijn/haar wachtwoord en de door hem/haar bij de aanmelding voor de dienst op te geven welkomstboodschap strikt geheim te houden ten opzichte van een ieder, daaronder mede begrepen familieleden, huisgenoten, mederekeninghouders en gemachtigden.

6. Indien de kaarthouder enige aantekening maakt van zijn/haar wachtwoord dient hij/zij dat in een zodanige vorm te doen, dat het wachtwoord op generlei wijze voor derden herkenbaar is. De kaarthouder zal de ING onverwijld op de hoogte stellen door contact op te nemen met de klantenservice indien sprake is van enig ongeautoriseerd gebruik van het wachtwoord of enige andere schending van de beveiliging. De klantenservice is bereikbaar op telefoonnummer 0900 0933 (10 cent per minuut). De kaarthouder is volledig aansprakelijk voor schade die het gevolg is van het door hem/haar niet naleven van de in dit artikel vermelde verplichtingen.

7. De kaarthouder is verplicht om bij transacties in verband met aankopen bij aangesloten winkels zijn wachtwoord te gebruiken. De kaarthouder is volledig aansprakelijk voor de schade die het gevolg is van het niet nakomen van deze verplichting.

12. De ING is niet aansprakelijk voor enig verlies of enige schade die voortvloeit uit transacties die onder gebruikmaking van deze dienst met aangesloten winkels plaatsvinden ten laste van de kaart van de kaarthouder, tenzij het verlies of de schade is te wijten aan opzet of schuld van de ING.
Uit bovenstaande voorwaarden spreekt dat de kaarthouder aansprakelijk is voor wat er met zijn wachtwoord gebeurt. In de huidige wereld van trojans en wachtwoordloggers is dit geen aantrekkelijk vooruitzicht. De kans dat de creditcardinformatie en securecode een keer gestolen worden zijn niet onwaarschijnlijk. In de oude situatie zonder SecureCode is de kaarthouder niet aansprakelijk omdat hij de fysieke kaart nog in bezit heeft, terwijl hij dat op basis van bovenstaande voorwaarden wellicht wel is.

Er kan natuurlijk gedacht worden dat het allemaal zo'n vaart niet zal lopen en dat uitgevende banken en creditcaardmaatschappijen zich coulant zullen opstellen. Aanhangers van die gedachte moeten echter wel realiseren dat de slachtoffers van skimming in het begin door de banken ook volledig aansprakelijk werden gehouden voor transacties met de afgekeken PIN-code en dat dit pas veranderde na flinke tijd en druk.

Extra zuur aan SecureCode is dat de oplossing zelf bijzonder weinig veiligheid biedt. Het werkt alleen met een eenvoudig wachtwoord in plaats van (optioneel) two-factor authenticatie danwel authorisatie. Bevestiging per SMS of challenge-response met bankkaart zou de consument in elk geval een fatsoenlijk niveau van beveiliging bieden. Voor veel uitgevende banken zou dit niet meer zijn dan een lichte integratie met het reguliere online bankieren.

Naast de single-factor authenticatie springt ook de "geheime vraag" in het oog. Tijdens de registratie wordt hierom gevraagd, maar er wordt niet aangegeven voor welk doeleinde deze gebruikt zal worden. Empirisch wetenschappelijk onderzoek heeft aangetoond dat de meeste antwoorden van "geheime vragen" met enig zoek- en gokwerk zijn te beantwoorden. Gezien deze zwakke veiligheid in combinatie met bovenstaande voorwaarden is het de vraag of het verstandig is het echte antwoord te geven.

Security is vaak niet het laten verdwijnen van risico's maar ze verschuiven ;)

http://kosteronline.net/pics/securecode.png
Het registratiescherm van MasterCard SecureCode bij ING.