Betalen via internet, is dat wel veilig?

E-commerce Online winkelen Webwinkels Credit-card

Betalen over Internet is een onderwerp waar veel over te doen is. Wie alle verhalen gelooft, krijgt de indruk dat legioenen hackers op de loer liggen om de credit-card gegevens van argeloze gebruikers te onderscheppen om daarmee hun rekeningen te plunderen. Toch is de electronische betaling met de credit-card de populairste manier om artikelen via Internet te kopen. Ondertussen worden steeds meer alternatieven ontwikkeld om via Internet af te kunnen rekenen.

Betalen via Internet

Wie in de winkel iets afrekent, heeft direct contact met de verkoper en kan zien wat er met zijn geld of kaart gebeurt. Bij een PIN-automaat moet op een knop worden gedrukt om akkoord te gaan met de transactie, en bij een betaling met credit-card is de handtekening van de kaarthouder vereist. Maar bij een betaling via Internet gaat dit anders. Koper en verkoper kennen mekaar niet, en bevinden zich misschien op twee verschillende continenten. Alle contacten lopen via een netwerkverbinding. Ook de gegevens die nodig zijn voor het afrekenen, worden op deze manier verzonden. De meest gebruikelijke manier is dat de koper de gegevens van zijn credit-card (meestal het kaartnummer, de verloopdatum en de naam van de houder) naar de Website van de verkoper stuurt. Deze controleert de gegevens met de credit-card maatschappij, en als alles in orde is, wordt de transactie uitgevoerd en krijgt de koper zijn spullen thuisgestuurd. Er zijn nu twee gevaren. Ten eerste bestaat de mogelijkheid dat een derde meeluistert over het netwerk en zo de kaartgegevens van de koper te pakken krijgt. Ten tweede weet de koper niet wat de verkoper gaat doen met de kaartgegevens.

Hackers

Het eerste gevaar, de meeluisterende hacker, is naar alle waarschijnlijkheid het meest bekend. Het is in theorie mogelijk dat een derde de netwerkverbinding kan aftappen en zo de datapakketten met de credit-card gegevens te pakken kan krijgen. Met deze gegevens kan hij dan later zich manifesteren als de eigenaar. Om de eigenaar hiertegen te beschermen, wordt dikwijls gebruik gemaakt van encryptie. De hacker krijgt dan alleen de versleutelde pakketjes te pakken en omdat hij de sleutel niet weet, kan hij de gegevens niet achterhalen. Op het moment dat de klant nu wil afrekenen, start zijn browser een beveiligde verbinding met de server. Dit gebeurt meestal via SSL of via S-HTTP. Essentieel hierbij is dat de code in de browser en in de server geen fouten bevat. Een vroege versie van Netscape bevatte bvb een fout waardoor de pakketjes simpel ontsleuteld konden worden, omdat altijd dezelfde sleutels gebruikt werden.

En ook als alles correct verloopt, is het systeem niet altijd zo veilig als het lijkt. Vanwege exportregels in de VS is het aan Amerikaanse bedrijven niet toegestaan om software met onkraakbare encryptie uit te voeren. Zij leveren daarom hun software aan niet-Amerikanen met sleutels die slechts 40 bits lang zijn. Dergelijke sleutels zijn te achterhalen door alle mogelijke combinaties uit te proberen, wat hoogstens een paar dagen rekentijd kost. Een 128-bits sleutel is op deze manier niet te raden, maar dergelijke sleutels zijn alleen beschikbaar in de Amerikaanse versie van Internetbrowsers. Het pakket Fortify kan de internationale versie van Netscape aanpassen zodat het de onkraakbare encryptiesleutels aankan.

Vals gevoel van veiligheid

Het gebruik van encryptie geeft echter een vals gevoel van veiligheid. De gegevens mogen dan wel veilig aankomen bij de verkoper, maar op wat er daarna gebeurt heeft de koper geen enkel zicht. De koper moet vertrouwen hebben in de integriteit van de verkoper, en in diens expertise op het gebied van beveiliging. Het is voor een hacker immers veel aantrekkelijker om de site van een Internetwinkel te hacken, dan om verbindingen lees meer over Betalen via internet, is dat wel veilig?