Rabobank stapt over op betalen met vingerafdruk (of pincode met 5 cijfers). Is dat veilig genoeg?
De Rabobank stopt met de Rabo Scanner waarmee klanten online betalingen kunnen authoriseren, meldt de Telegraaf. Volgens de bank is het apparaatje niet langer nodig om veilig betalingsverkeer te kunnen garanderen.
Bart Leurs van digitale verandering bij Rabobank zegt tegen De Telegraaf dat online bankieren “net zo veilig” kan zonder een kaartlezer. Daarbij noemt hij vijfcijferige inlogcodes of het gebruiken van een vingerafdrukscanner in een telefoon.
Dat de Rabobank een 5-cijferige pincode veilig noemt is opmerkelijk.
Ethical hackers en de website Veiliginternetten.nl denken daar anders over.
Volgens ethical hackers kan een wachtwoord van 7 tekens binnen twee uur gekraakt worden.
Met 1 teken meer duurt het ongeveer twee maanden.
Wat nou als we twee tekens minder hebben? Hoe snel kan een pincode van 5 cijfers eigenlijk gekraakt worden.
Op Veiliginternetten.nl staat een test. De uitslag geeft te denken. Vijf tekens is absoluut onveilig.
“Het wachtwoord 12345 is supersnel gekraakt. Net als welkom01”, schrijft Veilignternetten.nl.
”Ze zijn beide te kort en bevatten te weinig verschillende tekens. Hoe zit dat met jouw wachtwoord(en)? Hoe snel hebben cybercriminelen toegang tot jouw persoonlijke en belangrijke gegevens?”
1, 2, 3, 4, 5 is inderdaad wel heel gemakkelijk. Maar een willekeurig getal van 5 cijfers is voor de meeste krakers net zo eenvoudig. Een peuleschil met de juiste hacksoftware en een snelle computer.
De uitleg van veiligheidsexpert Leurs staat ook haaks op de vele awareness trainingen die in het kader van de nieuwe privacywet AVG / GDPR overal in het land gegeven worden.
Iedere cursist wordt ingeprent om lange wachtwoorden te gebruiken met verschillende tekens.
Hoe zit dat dan met de pincodes van banken?
Eenvoudig. Als je je pincode drie keer fout invoert wordt je account geblokkeerd.
Hacken met een snelle computer heeft dan geen zin.
Maar hoe zit het dan met het menselijk brein? Iemand die je pincode afkijkt of aftroggelt? Veel mensen hebben al moeite om een viercijferige pincode te onthouden. Laat staan vijf cijfers.
De kans is groot dat veel mensen noodgedwongen hun pincode op een papiertje schrijven dat in de portemonnee of binnenzak wordt gestoken. Als geheugensteuntje. Niet verstandig, maat wat moet je als je geheugen je in de steek laat?
Hoe zit het met verborgen camera’s die meekijken als een pincode ingevoerd wordt?
Eigenlijk had de Rabo Scanner toch een functie. Dubbele opt-in.
De Rabobank moet toch net als andere organisaties bij de ontwikkeling van nieuwe producten wettelijk rekening houden met de GDPR eis ‘privacy by design’?
Dan vertrouw ik meer op de vingerafdruk beveiliging.