Bedankt, Alphons, voor je uitleg en voor je bemoedigende woorden!

Die laatste had ik wel nodig toen ik vanmiddag besloot Credit Europe zelf hier eens over te raadplegen en een soort Prins Bernhard aan de telefoon kreeg die van mening leek te zijn dat ik mij schuldig maakte aan majesteitsschennis. Ik was de enige die hier ooit, sinds 2003, over had ‘geklaagd’, ik was vrij om naar een andere bank te gaan want hij zou niet graag willen dat ik me zorgen maakte over mijn spaargeld, hij zou weleens willen weten uit wat soort milieu ik kwam aangezien ik me zulke dingen in mijn hoofd haalde. Ik bleef vriendelijk maar beslist en kwam het volgende aan de weet:

Het systeem bestaat sinds 2003 en is in 2007 veranderd ( verbeterd bedoelde hij hopelijk) en voldoet aan de Duitse veiligheidsnormen, die strenger zijn dan de Nederlandse.

Er bestáán dus veiligheidsnormen van onafhankelijke instanties voor internetbankieren en bijvoorbeeld de Analodubank voldoet (nog) niet aan de Nederlandse normen en mag niet internetbankieren.

Het systeem is hetzelfde in Duitsland, Nederland en België en heeft volgens Prins Bernhard nog nooit problemen gegeven en nooit tot ook maar één klacht geleid.

De keuze voor dit eenvoudige systeem is gemaakt om een optimaal compromis te bereiken tussen veiligheid en klantvriendelijkheid. Vijf cijfers zijn gemakkelijker te onthouden dan zes. Aan de andere kant worden klanten die regelmatig bellen om om een wachtwoord van vier cijfers te vragen teleurgesteld, dát is weer te onveilig.

Voor cijfers is gekozen omdat men met dezelfde codes ook telefonisch kan bankieren.

Er bestaan klantnummers van 7, 5 of 6 cijfers, wat het raden lastiger maakt. Alweer: langere reeksen zouden te lastig zijn voor de klanten.

En ‘tests’ hebben uitgewezen dat langere reeksen niet nodig zijn.

Stel dat iemand de codes raadt en bij een spaarrekening kan komen, dan kan hij alleen overboeken naar de tegenrekening. De bank maakt gebruik van sterke beveiligingssoftware, dus dit obstakel is niet makkelijk te omzeilen.

Het openen van een tweede tegenrekening of het veranderen van de tegenrekening kan alleen schriftelijk en wordt bemoeilijkt door de handtekening. Handtekeningen worden zowel door apparatuur als door mensenogen vergeleken met de handtekening op het identiteitsbewijs en zojuist nog is een dame een verzoek geweigerd omdat haar handtekening teveel afweek, ondanks haar telefonische protesten.
(Hier kwam mijn milieu ‘im Frage’ want ik opperde dat ook huisgenoten oneerlijk zouden kunnen zijn en dat die de handtekening van de rekeninghouder konden nabootsen. )

Op de veronderstelling van appeltje, dat je op één pincode of wachtwoord veel meer dan 2 gebruikersnamen of klantnummers zou kunnen intikken omdat één pincode door vele klanten wordt gebruikt reageerde hij enigszins onthutst en tenslotte zei hij zoiets als: ‘Dan wordt uw rekening geblokkeerd, en daaraan merkt u dat er is iets mis is, dat is alles”, waarop ik, afgeleid, uitriep dat dat toch heel vervelend was en vergat om dieper op de zaak in te gaan. Dus of het klopt wat appeltje beweert weet ik niet zeker, maar wel dat Prins Bernhard er enigszins van van zijn á propos raakte. En ik durf het niet uit te proberen.

TAN-codes worden niet gehanteerd want die zijn niet nodig omdat je alleen naar de tegenrekening kunt overboeken. (En ze zijn lastig voor de klanten.)

Nadat ons gesprek midden in mijn bedankzin voor zijn uitvoerige uitleg werd onderbroken doordat de hoorn werd neergelegd begon ik toch nog wat na te prakkiseren.

Alle spaarbanken (en ik ken geen andere) die wachtwoorden hanteren van minimaal acht tekens met minstens één cijfer en één leesteken zijn dus overdreven bezig.
Alle spaarbanken (en behalve ATB ken ik geen andere) die TANcodes hanteren doen dit uitsluitend om hun klanten te pesten...

Maar die Duitse Degelijke Normen, die Hoge Duitse Standaard, waar hij steeds maar weer op terugkwam, (en waarmee ik hem zelfs even aan het lachen heb gemaakt) daarmee heeft Prins Bernhard wel een punt.

Ik vrees dat als ze inbreken op je (draadloze) netwerkverbinding of een virus/worm sturen die ongemerkt je toetsaanslagen registreert deze 137 jaar aardig worden ingekort. Dan is je beveiliging bij CE gekraakt en heb je alleen nog maar de beveiliging van de bank voor je tegenrekening(en). Misschien zijn die extra TAN-codes dus nog niet zo'n slecht idee..

Tan-codes vind ik sowieso niet nodig. a) je kan alleen maar overboeken naar je tegenrekening b) overal waar je wil bankieren moet je die tan-codes met je meeslepen.

Ik had deze opmerkingen absoluut niet gepikt. Ik had zijn naam gevraagd en een dikke klacht ingediend over zijn gedrag.

Sphere, bedankt voor je solidariteit, maar misschien had ik wel een grote baas aan de lijn en bovendien ben ik, sinds ik jaren geleden uit de Randstad naar het Noorden des lands ben gevlucht, minder heetgebakerd en sta ik minder op mijn strepen, dat scheelt veel tijd en spaart de zenuwen.
Maar het blijft vreemd dat mijn gesprekspartner zó in de verdediging ging; ik gaf daar beslist geen aanleiding toe. Twijfelt hij diep van binnen aan de juistheid van hun beveiliging?

Wat betreft die berekeningen van Alphons: die sluiten toevalstreffers niet uit. Er zijn dus ook gebruikersnamen van vijf cijfers, die zou men eerst moeten proberen. De kans om één bepaalde rekening te vinden is klein, maar je zoekt naar een willekeurige match van twee reeksen van vijf cijfers. Of naar een willekeurige reeks van tien cijfers uit een verzameling van tien cijfers.
De psycholoog Piet Vroon schrijft ergens dat mensen geneigd zijn kansen op een bepaald toeval veel te laag in te schatten. Zo zou de kans dat je in je kennissenkring verschillende mensen hebt met hetzelfde huisnummer of dezelfde verjaardagsdatum veel groter zijn dan wordt gedacht, hij rekent dat ook voor. Zelf ken ik in mijn beperkte kennissenkring drie mensen die op dezelfde dag jarig zijn.
Verder zullen mensen toch vaak een pincode kiezen die ze gemakkelijk kunnen onthouden, bijvoorbeeld de geboortedatum van een vriend, je zou moeten beginnen bij de pincode reeksen in te vullen volgens het schema van een geboortedatum. Verder geluks- , ongeluks en gekkengetallen en wat je verder kunt bedenken.

Prins Bernhard had géén fantasie en vertrouwde blindelings op zijn Duitse normen en veronderstelde dat mensen uit bepaalde milieus zich verre van zijn keurige bank zouden houden.

Wat, ik dwaal af, wel grappig was, was dat Prins Bernhard echt dacht dat al zijn klanten hun pincodes, volgens de instructies van de bank, uit het hoofd zouden leren. De mogelijkheid dat ze das Befehl aan hun laars zouden lappen en onverwijld de pincode aan het daarvoor bestemde paperas met wachtwoorden en gebruikersnamen zouden toevoegen bestond niet voor hem. En er belden dus bekommerde klanten die die vijf cijfers maar niet konden onthouden en smeekten om een pincode van vier cijfers!

En dat hij, toen ik bezig was hem te bedanken voor zijn uitvoerige uitleg, de hoorn erop legde kwam misschien wel omdat hij opeens dacht dat ik zelf boze plannen had en hem had zitten uithoren.

Iedereen heeft andere grenzen natuurlijk. Ik acht de kans dat een grote baas de telefoon opneemt echter uiterst klein en al zou dat zo zijn....?

Je hebt wel een beetje gelijk, Sphere, als iedereen alles maar pikte werden de mensen nóg brutaler. Maar hij loopt toch vast wel een keer tegen de lamp, als dit zijn normale aanpak is.



Sterker nog, dan hadden ze ook de inlogcodes van je tegenrekening en was je TAN-code van 3 cijfers van je tegenrekening je enige beveiliging.
Mensen moeten uiteraard hun PC goed beveiligen, maar banken doen er mijns inziens verstandig aan wat extra maatregelen te nemen, omdat nou eenmaal niet iedereen dat doet.

Dus voor die tegenrekening maak ik daarom nog wel gebruik van Rabo, omdat ik denk (naïef ) dat daar de beveiliging in ieder geval beter gewaarborgd is.

Mee eens. Er was al eerder geconstateerd dat de inlogprocedure van C.E. aan de eisen voldoet. De draad begint een wel erg theoretisch gehalte te krijgen

_________________
Pecunia non olet!

Dit onderwerp is nu inderdaad voldoende behandeld. Daarom slotje.