De manier om transacties bij internetbankieren uit te voeren kan eenvoudiger, wat ook de veiligheid ten goede komt, zo stelt onderzoeker Sven Kiljan, promovendus bij de Open Universiteit. De onderzoeker keek gedurende een periode van 2 jaar hoe klanten van 80 banken wereldwijd de aangeboden authenticatiemethoden gebruiken, samen met de manier waarop de banken de communicatie beveiligen.
De gebruikte communicatiebeveiliging is volgens Kiljan veelal uniform en 'goed genoeg' voor dagelijks gebruik. De implementaties van authenticatiemethoden variëren sterk, maar voor transactieauthenticatie wordt enkel het 'What You See Is What You Sign' informatieschema gebruikt. Dit schema stelt gebruikers in staat om op een veilige manier transacties te verifieren die eerder op een onveilige manier naar de bank zijn verstuurd, voordat de transacties worden uitgevoerd.
"Aan de ene kant willen bankklanten dat internetbankieren niet alleen veilig is, maar ook gebruiksvriendelijk. In een commercieel competitieve omgeving wordt elke beveiligingsmaatregel als een afweging tussen gebruiksgemak en veiligheid gezien", aldus de onderzoeker. Hij stelt dat als beveiligingstechnieken niet worden aangepast aan de gebruikers, de kans bestaat dat gebruikers deze (bewust of onbewust) verkeerd inzetten.
Door verkeerd gebruik bestaat de kans dat nieuwe beveiligingstechnieken naast hogere kosten weinig toevoegen aan de bestaande beveiliging. Kiljan keek onder andere naar een nieuw informatieschema om transacties veilig te autoriseren genaamd What You Enter Is What You Sign. Het schema voegt bij de invoer van de gebruiker integriteit en authenticiteit toe aan de transactiegegevens voordat ze verstuurd worden. Het is niet nodig dat de gebruiker achteraf de transacties nogmaals verifieert.
Kiljan concludeert dat de bestaande manier van internetbankieren verbeterd kan worden. Klanten moeten nu twee acties uitvoeren om een bestemmingsrekeningnummer en het bedrag van een transactie door te geven. De methode van de onderzoeker zorgt ervoor dat de klant met één enkele actie (alleen de invoer) deze gegevens aan de bank doorgeeft. Door het verminderen van het aantal acties wordt de ruimte om gebruikersfouten te maken verkleind wat de veiligheid moet vergroten. De onderzoeker zal zijn proefschrift (pdf) aanstaande vrijdag verdedigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.