Kritiek op simpeler beveiliging ING

Meneer Lakerman, let u even op? Misschien kan u ze wakker schudden…

ING gaat het gebruikers van zijn online bankieromgeving gemakkelijker maken om een nieuw wachtwoord aan te vragen als ze het oude zijn vergeten. Critici vrezen dat dat tot minder veiligheid zorgt…In de oude situatie moesten klanten die niet meer konden inloggen naar de bank…vanaf maart is dat niet meer nodig: een nieuwe gebruikersnaam krijgen klanten voortaan per brief, maar wie alleen een nieuw wachtwoord nodig heeft, kan dat direct per sms laten opsturen..Critici waarschuwen dat die gegevens in de praktijk vaak samen te vinden zijn. Mensen bewaren hun telefoon en hun portemonnee met bankpasjes en legitimatiebewijzen bijvoorbeeld vaak samen in een tas, of stoppen ze in een kluisje in het zwembad. (bron).

Laat me raden? De klant wil het zo…althans dat denken we (echte reden is natuurlijk een kostenbesparing, minder mensen op kantoor betekent minder medewerkers of zelfs minder kantoren). De afdeling Beveiliging bij zo’n project betrekken? Vooral niet doen, die gasten doen toch alleen maar lastig, die zullen wel weer tegen zijn en dat moeten we niet hebben. Geloof me, er zijn echt wel manieren te vinden waarop het voor de klant makkelijker is terwijl het nog steeds erg veilig is.

Gelukkig hebben ze er goed over nagedacht: Volgens Bouwmeester is uit uitvoerig onderzoek van de bank echter gebleken dat het “heel onwaarschijnlijk” is dat van de nieuwe procedure misbruik wordt gemaakt. De bank voldoet volgens haar aan alle beveiligingseisen.

Heel onwaarschijnlijk betekent dus niet onmogelijk. Ehm, toch nog maar een keer extra nadenken over het verschil tussen “compliant” en “in control” zijn? Natuurlijk kun je nog steeds voldoen aan alle eisen (die schrijven echt niet voor hoe je exact de procedure uitvoert), maar of je hiermee echt nog “in control” bent zal de toekomst uit moeten wijzen.