Mijn koffiebonen zijn bijna op. Zie ik als ik een espresso aan het zetten ben. Tijd om nieuwe te bestellen. Dat doe ik altijd bij de jongens van het Koffiestation. Toffe jongens, met heerlijke koffie. Ze komen het zelfs gratis langs brengen. Als je in Groningen woont ten minste...
Maar hoe mooi de website van de jongens van het Koffiestation ook is, het is toch iedere keer weer een gedoe. Ik moet naar boven lopen, PC aanzetten, naar hun website browsen, de winkel in, de bonen selecteren die ik wil, het aantal, en of ik ze gemalen wil (nee dus), in het winkel wagentje zetten, inloggen, gratis bezorging selecteren. De jongens zouden dit handiger kunnen doen door me meteen vanaf de home pagina in te laten loggen, mijn laatste keuzes als standaard selecteren, en mij die keuze laten kopen met een simpele druk op de bestel knop. Vervolgens moet ik echter alsnog betalen met iDeal, wat een aantal handelingen met inloggen op de bank site en/of het invoeren van wat codes op een token betekent. Erg onhandig allemaal.
Het liefst zou ik een app op mijn telefoon willen, van het Koffiestation, met maar één knop: bestel nieuwe koffie. Zodat ik de nieuwe bonen al besteld én betaald heb voordat mijn espresso klaar is... Zo moeilijk moet dat toch niet zijn. Er staat immers ook al een internet bankieren app op mijn telefoon. Waarmee ik (veel makkelijker) geld kan overmaken dan met iDeal. Natuurlijk moet het wel veilig zijn. Hoe graag ik de jongens van het Koffiestation ook mag, ik wil er niet blind op moeten vertrouwen dat ze met hun app niet stiekem mijn bankrekening leeg plunderen.
Het meest perfecte zou zijn als alle internet bankieren apps een standaard interface zouden aanbieden (op bijvoorbeeld iOS via custom URL schemes) waarmee een willekeurige andere app om het betalen van een bedrag kan vragen. Via die interface wordt de internet bankieren app geopend en de beoogde betaling aan de gebruiker getoond. Deze kan de betaling bevestigen door zijn mobile pincode in te voeren, afbreken als hij zich bedenkt, en een speciale paniek knop indrukken als hij helemaal niet om een betaling heeft gevraagd. Op recente iPhones zou je voor het bevestigen van de betaling ook nog de vingerafdruk scanner kunnen gebruiken, overigens.
Simpel toch?
Dus... wie gaat dat eens voor mij bouwen? ;-) Of kan de nieuwe Apple Pay dit al?
Update 15-9-2014: Kennelijk doet Rabobank dit al op Android en iOS, en ING op Android, gebruik makend van custom URL schemes. Zijn er ook al apps die deze methode direct gebruiken (ipv websites met iDeal)?
Hoi,
Er zijn meerdere banken die dit al doen. Bij mijn weten Knab, ING en Rabobank. De kleine bank Knab was de eerste die dit in de zover van 2013 in de mobiele app geintroduceerd heeft. Die andere twee grootbanken volgde snel. Op iOS wordt er gebruik gemaakt van een custom URL scheme en op Android een intent URL scheme.
De veiligheid is goed te garanderen zolang de betaling maar niet uitgevoerd wordt in een webframe van een winkelier zijn app. Als je de internet bankier app gebruikt is dit nog niet het geval en heeft de bank volledige controle hoe het gepresenteerd wordt.
Een ondertekening met je pincode is veelal (afhankelijk hoe de bank het geimplementeerd heeft) een tweefactorauthenticatie. Met de app voer je namelijk een registratieproces uit waarmee het een uniek device wordt (something you have) en de pincode voor daarmee het tweede element (someting you know).
Oftewel, als je de juiste bank heb dan is het al beschikbaar. Nu nog wachten op die winkeliers die het mobiele flow wat optimaliseren
Ps. deze site mag ook wel responsive, het was niet eenvoudig om deze comment te schrijven ;)
Op zich een tof idee.
Het enige bezwaar vanuit het perspectief van de banken is het veiligheidsprobleem. Een app heeft de vrijheid om op het scherm te tekenen wat hij wil. Hij kan dan dus ook je internetbankierapp natekenen. Dan zou de phishing dus ingebouwd zijn in de app.
Bij ‘gewoon’ iDeal zijn er twee verschillen ten opzichte van dit scenario: ten eerste is er een context (de browser) die niet door de webshop beheerst wordt en die informatie kan geven (zoals het vermelden van https). Ten tweede is daar nog sprake van tweefactorauthenticatie.
Ik denk daarom dat banken dit niet zullen gaan willen. En als de banken het niet willen, verval je al snel in de overlay-discussie van ING en AFAS (dat huishoudboekje).